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(57) Abstract 

This invention relates to methods and devices for automatic settling of cashless, preferably, non-contact payment operations, in 
particular for automatic levying of charges and the like between a performance or service provider and a user of said service or performance 
who pays with a cashless, in particular electronic means of payment, such as a credit a card, a debit card or an electronic purse. The process 
can also be used in conjunction with a payment system in which the user obtains the means of payment from an issuing body, in particular 
a bank or the like, and the payment is released in the form of a binding declaration of the willingness to pay, while payment is received in 
the form of an acceptance of the declaration, and the issuing body pays to the performance or service provider, in particular via a putting to 
account-point (acquirer), the charge or the like and settles up with the user. Establishing and transferring payment, transmitting receipts and 
recording payment is carried out by data transfer of corresponding movement data and putting to account-data by way of communication 
interface between the payment device and the levying device. The structure of clearance data is selected so that it can also be used for 
further processing at the issuing body and. optionally, at the putting to account-point (acquirer). 

(57) Zusammcnfassung 

Die Erfindung betrifft Verfahren und Vorrichtungen zur automatischen Abwicklung von bargeldlosen, vorzugsweise beruhnjngsfreien. 
Zahlungsvorgangen. insbesondere zur automatischen Erhebung von Gebahren and dergleichen, zwischen eincm Leistungs- oder Dienstanbi- 
eter und einem Nutzer dieser Leistung bzw. dieses Dieastes, der dafur mit einem bargeldlosen, insbesondere elektronischen Zahlungsmiuel 
wie etwa einer Kreditkane. einer Debitkarte oder einer elektronischen Geldbdrse bezahlt, wobei das Verfahren auch im Zusammenhang 
eines Zahlungssystems eingesetzt werden kann, in welchern der Nutzer das Zahlungsmittel von einem Eniittenten, insbesondere einer Bank 
oder dergleichen erhalt und die Freigabe der Zahlung in Form einer bindenden Erklamng der Zahlungsbereitschaft erfolgt. wahrend der 
Empfang der Zahlung in Form der Annahme der Erklamng erfolgt. und der Eminent dem Leistungs- oder Dienstanbieter, insbesondere 
iiber eine Verrechnungsstelle (Acquirer), die Gebuhr oder dergleichen auszahlt and hieruber mit dem Nutzer abrechnet. Festlegung sowie 
Ubergabe der Zahlung, Quittungsubergabe und Auszahlungserfassung erfolgen durch Datentransfer entsprechender Bewegungsdaten und 
Verrechnungsdaten liber die Kommunikationsschnirtstelle zwischen Bezahlvorrichtung und Erhebungsvorrichtung, wobei die Datenstruktur 
der Venechnungsdaten so gewahlt ist. daQ sie auch fur die Wciterverarbeitung beim Emittenten und ggf. beim Acquirer eingesetzt werden 
kann. 



UiDIGUCH 7MK INFORMATION 

Codes rur Identitizierung von PCT-Vertragsstaaten auf den Kopfbogen der Schriften, die Internationale 
Anmeldungen gcmass dem PCT veroffentlichen. 



AM 


Arm en ten 


GB 


Veremigtcs Konigrcich 


MX 


Mexiko 


AT 


Osterrcicb 


CE 


Genrgien 


NE 


Niger 


AU 


Auatralien 


GN 


Guinet 


NL 


Niederlande 


BB 


Barbados 


GR 


Gricrhcnland 


NO 


Norwegen 


BE 


Belgicn 


HU 


Ungam 


NZ 


Neuseeland 


BF 


Burkina Faso 


IE 


Irland 


PL 


Polen 


BG 


Bulgaricn 


IT 


It alien 


PT 


Portugal 


Bj 


Benin 


JP 


Japan 


RO 


Rumanien 


BR 


Brasilien 


KE 


Kenya 


RU 


Ku&sisrhc Federation 


BY 


Belarus 


KG 


Kirgisistan 


SD 


Sudan 


CA 


Kanadi 


KP 


Demokraiische Volksrepublik Korea 


SE 


Schweden 


CV 


Zc runic Afrik anise he Rcpublik 


KR 


Rcpublik Korea 


SC 


Singapur 


CC 


Kongo 


KZ 


Kasaeh&ian 


SI 


Slowenien 


Cll 


Schwciz 


LI 


Liechtenstein 


SK 


Slowakei 


CI 


C(*c d'lvoire 


LK 


Sri l^Jika 


SN 


Senegal 


CM 


Kamenin 


IM 


Liberia 


sz 


Swaziland 


CN 


China 


LK 


Litaucn 


TD 


Tschad 


CS 


Tschechoslowakei 


I.U 


Luxemburg 


TG 


Togo 


cz 


Tschechische Rcpublik 


I.V 


Leuland 


TJ 


Tadschikisian 


de 


Deutschland 


MC 


Monaco 


TT 


Trinidad und Tobago 


DK 


Danemark 


Ml) 


Rcpublik Moldau 


UA 


Ukraine 


EE 


Kstland 


MG 


Madagaskar 


UG 


Uganda 


RS 


Spanicn 


ML 


Mali 


US 


Vereinigie Siaaten von Amerika 


FI 


Finnland 


MN 


Mongolei 


UZ 


Usbckistan 


FR 


Frankrtich 


MR 


Mauretanien 


VN 


Vietnam 


CA 


Gabon 


MW 


Malawi 







WO 97/22953 



PCT/EP96/05158 



- 1 - 

"Verfahren und Vorrichtungen fur die Verwendung und Ver- 
rechnung von elektronischen Zahlungsmitteln in einem 
offenen und interoperablen System zur automatischen 
5 Gebiihrenerhebung" 



Die Erfindung betrifft Verfahren und Vorrichtungen fur die 
Verwendung und Verrechnung von elektronischen Zahlungs- 

10 mitteln in einem offenen und interoperablen System zur 
automatischen Gebuhrenerhebung. Spezieller betrifft die 
Erfindung solche Verfahren und Vorrichtungen, bei denen 
die Verwendung des elektronischen Zahlungsmittels beriih- 
rungsfrei/ insbesondere uber Punk mittels eines meist 

15 ortsfesten Abf rage senders und eines transportablen 

Transponders oder durch eine autonome nutzerseitige Vor- 
richtung erf olgt . 

Bargeldlose Zahlungsvorgange sind von stark zunehmender 
20 Bedeutung im geschaf tlichen VerJcehr , auch und gerade fur 
den Endverbraucher . Speziell die bevorstehende Einfiihrung 
von elektronischen Geldborsen und deren erwarteter Einflufi 
auf die Endverbraucher -Z ah lungs gewohnhei ten sowie die ste- 
tig wachsende Zahl von Kredit- und Debitkartenbesitzern 
25 zeigen dies ebenso wie die rapide Zunahme von Terminals 
fiir solche Karten im Einzelhandels- und Dienstleistungs- 
sektor . 

Entsprechend wachst das Interesse an, und der Bedarf fiir, 
30 bargeldlose Zahlungsmoglichkeiten auch im Bereich der Ge- 
buhrenerhebung fiir Eintritt und Benutzung von Anlagen, wie 
Gebauden, Strafien, Briicken, von Transportsys temon und Be- 
f orderungsmitteln usw. Schon national, und erst recht 
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international, unterliegt die Entwicklung entsprechender 
bargeldloser Zahlungseinrichtungen der realen Bedingung, 
da£ die als Gebiihrenentrichter in Frage kommenden Personen 
fur eine Vielzahl unterschiedlicher Zahlungssysteme mit 
5 verschiedenen Techniken ausgestattet sind. Ein akzep tables 
Gebiihrenerhebungs system mob mit moglichst vielen solcher 
Zahlungssysteme kooperieren konnen, also off en und inter- 
operabel ausgestaltet sein. 

10 Die Erfindung betrifft solche offenen und interoperablen 
Systeme zur automatischen Abwicklung von Zahlungsvor- 
gangen , insbesondere von Gebiihrenerhebungen . Spezieller 
betrifft die Erfindung Verfahren zur automatischen Abwick- 
lung von bargeldlosen , vorzugsweise beruhrungsf reien , Zah- 

15 lungs vorgangen , insbesondere zur automatischen Erhebung 
von Gebiihren und dergleichen, zwischen ein em Leistungs- 
oder Dienstanbieter und einem Nutzer dieser Leistungen 
bzw. dieses Dienstes, der dafiir mit einem bargeldlosen, 
insbesondere elektronischen Zahlungsmittel bezahlt. Ein 

20 Beispiel ist die Verwendung bei der automatischen Erhebung 
von Gebiihren, die fiir die Benutzung von StraJBen, Parkhau- 
sern und sonstigen damit im Zusammenhang stehenden Mehr- 
wertdiensten durch Fahrzeuge verlangt werden . 

25 Auf politischer Ebene wird die Einfiihrung einer strecken- 
bezogenen automatischen Gebuhrenerhebung (AGE) auf Auto- 
bahnen diskutiert. Diese soil bargeldlos unter Wahrung des 
Datenschutzes und der Verkehrssicherheit erfolgen. Am Bei- 
spiel dieses AGE -Systems werden die Voraussetzungen und 

30 Anf orderungen an erf indungsgemafie Verfahren nachfolgend 
dargestellt . 
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Das AGE -Zahlungs system soli vorzugsweise auf universell, 
vielseitig einsetzbaren und international standardisierten 
Mikroprozessorkarten oder auch Smartcards basieren, die 
auch als ICC (Integrated Circuit Cards) oder einfach als 
5 Chipkarte bezeichnet werden. Eine ICC kann mit verschie- 
denen Applikationen wie beispielsweise Fahrscheine, Iden- 
tify ziorungs da ten (Pafi) , elektronische Geldborse, Nachbe- 
zahlungsfunktion (Debit- und Kreditkarten) usw. ausge- 
stattet werden. 

10 

Das fur AGE und andere solche Anwendungszwecke zu ent- 
wickelnde Zahlungs system kann sowohl ein universelles oder 
auch transportspezif isches Zahlungs system mit den Varian- 
ten Nachbezahlung und Vorausbezahlung sein. Das Zahlungs - 
15 system kann sowohl regional (z. B. Kundenkarte) als auch 
uberregional (z. B. nationale oder internationale Geld- 
borse, Kreditkarte) einsetzbar sein. 

Im allgemeinen ist die ICC eine Einheit eines komplexen 
20 Gesamtsystemes, das IC- (reiner Chip) und ICC-Hers teller , 
Karten- und Applikations-Emittenten , Dienstanbieter , 
Clearing- und Process ing-Unternehmen , Load Agents und 
weitere Komponenten/Institutionen umfa&t. 

25 Die Hauptanf orderung , die das System und die hierfur defi- 
nierten Schnittstellen erfullen miissen, ist die Wahlfrei- 
heit des Nutzers fur die in Chipkarten zu ladenden Appli- 
kationen und das fur die Bezahlung von Leistungen und 
Diensten (hier: AGE-Diens ten) einzusetzende Zahlungs - 

30 mit tel. 
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Zur Gowahrloi stung des Datens chut res , zum Schutz gegenuber 
Manipulationsversuchen bei der Auf- und Abbuchung und zum 
Nachweis der Leistungs- und Z ah lung sverweige rung sind fur 
alle am System teilnehmenden Institutionen/Komponenten 
5 ausgefeilte Sicherheitsanf orderungen technischer, recht- 
licher und organisatorischer Art erf orderlich , 

Das System mufi in der Praxis eine sichere, dabei aber 
schnelle Abwicklung der einzelnen Zahlungsvorgange ennog- 

10 lichen. Bekannte Verfahren und Vorrichtungen fur point-of- 
sale Systeme z.B. zur Zahlung mit Bezahlkarte, bei denen 
die Karte in ein Lesegerat eingefiihrt, dort ausgelesen und 
nach erfolgter Transaction wieder ausgegeben we r den muJi , 
scheiden schon wegen ihres Zeitaufwands aus . Erst recht 

15 muB auf online-Kontrollabf ragen ublicher Art verzichtet 
we r den , ohne da£ sich Sicherheitsprobleme ergeben durf en . 

Wesentliche Anf orderungen an das System, hier das AGE- 
System, werden nachfolgend in zwei Gruppen beschrieben, 
20 namlich solche, die unter Datenschutzaspekten und solche, 
die sich aus anderen funktionalen Aspekten ergeben. 

Haupt anf orderungen aus dem D a tens chut z 

25 Der Datenschutz nimmt bei der Entwicklung und Implemen- 
tierung eines Systems fiir die automatische Gebuhrenerhe- 
bung eine wesentliche Rolle ein. 

Im folgenden werden die Hauptanf orderungen des Daten- 
30 schutzes, die sich auf das Z ah lungs system und das Sicher- 
heitskonzept beziehen, naher skizziert. 
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1 . Anonymitat 

Unter Anonymitat ist zu verstehen, dafi personenbezogene 
Daten nur beim Nutzer gespeichert warden . Auch die anonyme 
Z ah lung und die Abrechnung sind hier entsprechend zu 
5 beriicksichtigen. Ein Abgleich der personenbezogenen Daten 
mit zentralen Dateien ist zu unterbinden. Im Falle des En- 
forcements diirfen nur bei begriindetem Verdacht personenbe- 
zogene Daten aufgedeckt werden. 

10 2 . Vertraulichkeit 

Vertraulichkeit bedeutet f dafi personenbezogene Daten vor 
unberechtigter Kenntnisn ahtae geschutzt werden miissen. Der 
Zugriff auf personenbezogene Daten darf nur durch autori- 
sierte Stellen stattfinden (mit Hilfe eines entsprechenden 

15 Schlussels) . Auch gegenuber ein em Zugriff von dritten Par- 
teien („Hacker") mufi das System entsprechend geschutzt 
sein . 

3. Integritat 

20 Integritat beinhaltet, dafi der Nutzer nicht zu unrecht 
belastet werden darf und dafi die Systembeteiligten sich 
darauf verlassen konnen, dafi alle Daten fehlerfrei und 
ordnungsgemafi erzeugt , verarbeitet, gespeichert und wei- 
tergeleitet werden. Auch das Erkennen und die Abwehr von 

25 Manipulations versuchen sind unter dem Schutz der Inte- 
gritat zu subsummieren . 

4 . Transparenz 

Die Nachvollziehbarkeit und Steuerbarkeit des Verfahrens 
30 fur den Entscheidungstrager und den Nutzer ist das aus- 
schlaggebende Kriterium fur die Akzeptanz des Systems. 
Darunter zu verstehen ist insbesondere die Anzeige oder 
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der Nachweis von Abbuchungen, Anderungen , Funktionssto- 
rungen und erschopfte Konten sowie die Erkennbarkeit von 
Enf orcementmaBnahmen. AuBerdem sollte der Nutzer uber die 
Infonnationen, die bei ihm dezentral gespei chert sind, 
5 informiert sein . 

5 . Riicknahmef estigkeit 

Unter Riicknahmef estigkeit des Datenschutzes ist zu ver- 
stehen, daB das System eine Verankerung des Datenschutzes 
10 beinhaltet, die keine unkontrollierte Moglichkeit der Ver- 
anderung durch Betreiber oder Dritte zulaBt. 

Weitere Hauptanf orderungen : 

15 1 . Interoperability t 

Das eingesetzte System soil interoperabel sein. Inter- 
operabilitat beschreibt dabei die Fahigkeit eines auto- 
matischen Gebiihrenerhebungssystemes , mit anderen Systemen 
im Umfeld der Erhebung von Nutzungsentgelten fur Nutzer 

20 und Betreiber effektiv zusammenzuwirken . Die Interopera- 
bilitat bezieht sich im Beispiel der AGE auf Dienst- 
leistungen der StraBenbenutzung und von Mehrwertdiensten , 
auf Zahlungs systems (unterschiedliche Issuer) , auf Uber- 
tragungstechniken {Mikrowelle , Infrarot, Zellularfunk etc) 

25 und den pan-eur opais chen Einsatz . Das Gesamtsystem soil 

fur eine beliebige Anzahl von AGE-Betreibern und Zahlungs- 
mittelemittenten ausgelegt sein, wobei eine organisato- 
rische Zusammenf assung unterschiedlicher Systemf unktionen 
moglich sein muB . 



30 
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2 . Kosteneffizienz 

Desweiteren mu& das System kostengiinstig sein, d.h. Nut- 
zung von vorhandenen Inf rastrukturen , gleiche externe 
Schnittstellen der Systemkomponenten fur alle Zahlungs- 
5 sy steme. 

3 . Zuverlassigkeit 

Das System mu£ den allgemeinen Anforderungen an ein 
System, hier ein AGE -System in Bezug auf die Zuverlassig- 
10 keit im Betrieb entsprechen (Fehlfunktionen durfen nicht 
zu Las ten des Nutzers gehen) . 

4 . Mehrwertdienste 

Die Integration von Mehrwertdiensten (OPNV, Verkehrslen- 
15 kung etc . ) nach Wahl des Kutzers ist entweder uber die 

Akzeptanz des Zahlungssystemes oder uber spezielle Appli- 
kationen vorzusehen. 

5 . Storungsf reier und sicherer Verkehrsablauf 

20 Natiirlich mufi das AGE-System auch den verkehrstechnischen 
Forderungen genugen, d.h. eine zuverlassige Gebuhrener- 
hebung mufi bei alien Verkehrssituationen und unter alien 
Umgebungsbedingungen gewahrleis tet sein. 

25 Aus diesen Anforderungen resultieren unmittelbar speziel- 
le re Anforderungen an die Komponenten des (AGE) -Systems , 
wie folgt: 



30 
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Ubergreifende Anforderungen 
1 . Manipulations schutz 

BewuBte (Sabotage, Bet rug) und unbewu&te Manipulationen 
5 ( Funk tions s t orungen ) sind zu erkennen und weitestgehend zu 
verhindern. Zum Schutz vor unbewuBter Manipulation eignen 
sich verschiedene technische Ma£nahmen r wie 

a) Verwendung von zugelassenen und zertif izierten 
10 Geraten, 

b) Einfachheit und Robustheit der Gerate und Systems, 

c) Schutz von Da ten durch Co die rung mit Fehlererken- 
nungs- und -behebungseigenschaf ten , 

d) Uberwachung der straBenseitigen und zentr&len 
15 Einrichtungen gegen Ausfalle und S to run gen, 

e) Bereits tellung eines lei stungs star ken Vertriebs- und 
Service centers . 

Schutz vor bewufiter Manipulation kann dagegen durch die 
20 genannten MaAnahmen nur unzulanglich erreicht we r den . 

Stattdessen znussen hierfur kryptographische Codes einge- 
setzt werden , die innerhalb der Rommunikation zwischen den 
Systexnbeteiligten zu verwenden sind. 

25 2 . Erhebung und Enforcement sind organisatorisch 
voneinander zu trennen. 

3. Die Rollentrennung zwischen Enforcement, Zahlungs- 
abwicklung, Kontenverwaltung und Kommunikations- 
30 abwicklung mufi systematisch , vorzugsweise auch 

gesetzlich verankert werden. 
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Anf orderungen an das Zahlungs sys tern 
1. Offenheit des Zahlungssystemes 

Das Zahlungs system mu£ hinsichtlich des verwendbaren 
5 Zahlungsmittels of fen sein, d.h. neben transportspezi- 
fischen Zahlungsmitteln muB auch der Einsatz von uni- 
versellen bargeldlosen Zahlungsmitteln moglich sein. 

2 . Zahlungs sys teme 
10 Als Basisverf ahren steht die Vorausbezahlung mit anonymer 
Guthabenkarte zur Verfiigung, alternativ dazu Nachbezah- 
lung. Die WahlmdglichJceit soil beim Nutzer liegen, dabei 
darf keines der beiden Verfahren benachteiligt we r den (Ab- 
wicklungsgebiihren , Endgeratepreise etc . ) . 

15 

3 . Wahlf reiheit des Kutzers 

Der Nutzer entscheidet uber die Zahlungsart (vorausbezahlt 
oder nachbezahlt, universell oder transportspezif isch) , 
d.h. er muB wissen, welche Zahlungs sys teme zugelassen 
20 sind. 

4 . Unterschiedliche Nutzer-Ausstattung 

Der Nutzer wird ublicherweise mit einer Bezahlvorrichtung 
(OBE, On-Board Equipment) versehen sein, die er in seinem 

25 Fahrzeug mit sich fxihrt und die technisch und funktional 
unterschiedlich ausgestattet sein k&nn. So kann z.B. die 
Applikation zur Verarbeitung, Speicherung und Ubertragung 
von AGE-Daten (OBU f On-Board Unit bzw. Transponder) vom 
Zahlungsmittel (z.B. Chipkarte) prinzipiell getrennt sein, 

30 oder das Zahlungsmittel kann in einem Speicher der Bezahl- 
vorrichtung z.B. als eine feste Abrechnungsnummer oder als 
Werteinheitenzahler gespeichert sein . 
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5 . 



Zahlungsgarantie 



Nachbezahlung : Der Zahlungsmittelherausgeber mufi dem 
Dienst&nbieter eine zuverlassige Zahlungsgarantie geben; 
5 Vorausbezahlung: die Zahlungsgarantie erfolgt durch das 
System, d.h. die technischen Bedingungen sowie die organi- 
satorischen Ablaufe mussen die Zahlung des gef order ten 
Betrages sichers tellen . 

10 6. Quittung 

Der Nutzer xnuB einen priifsicheren Nachweis iiber die er- 
folgte Zahlung (abschlie&ende Quittung) bzw. seine 
Zahlungswilligkeit (vorlaufige Quittung) erhalten, dessen 
Aufbewahrungspflicht beschrankt sein sollte. 



15 



7. 



Mifibr auchs s icherhe i t 



Die Mi&brauchss icherhe it inner ha lb des Zahlungssystemes 
muB gewahrleistet sein. Dazu zahlen, daB: 



20 a) 



das System nicht zugelassene Zahlungsmittel erkennen 



b) 



nur autorisierte und autorisiert geladene Zahlungs- 



mittel zulassig sind, 



25 



c) 



das System die Sperrmdglichkeit von Einzellcarten 
und/ oder Gruppen ermoglicht, 



d) 



das System sicher ist gegenuber unautorisierter 
Abbuchung und 

das System geschutzt ist gegen Zahlungsvortauschung 

z.B. durch Wiedereinspielung bereits verwendeter 

Z ah lunge n und gegen das Auslesen vertraulicher Daten 



e) 



30 



durch Unbef ugte . 
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8 . Revisionssicherheit 

Die Revisionssicherheit muB bei alien Zahlungsarten gege- 
ben sein. Dies bedeutet, daB alle Forderungen nachvoll- 
ziehbar sind und die Eindeutigkeit von Ort, Zeit und Be- 
5 teiligten der Zahlungsvorgange gewahrleistet ist. 

9 . Abwicklung 

Die Abwicklung zwischen den be teiligten Partnern muB 
schnell erfolgen . Dies bedeutet eine echtzeitnahe Ver- 
10 buchung auf dem Zahlungsmedium (z.B. Chipkarte) bei Vor- 
ausbezahlung und kurzfristige Wertstellung bei alien 
Systemen zugunsten der Verr echnungs s telle . 

10 . Ruckwirkungsfreiheit 

15 Die Anonymitat darf Zuverlassigkeit , Revisionssicherheit 
und Zahlungsgarantie nicht negativ beeinf lussen . 

11 . Benutzerf reundlichkeit 

Das System mu& benutzerf reundlich sein, d.h. Chipkarten 
20 mussen wiederverwendbar und Abrechnungen zniissen ubersicht* 
lich sein. 

Anf orderungen an die Sicherheitsarchitektur 

25 1. Trennbarkeit von Sicherheitsdomanen 

Grundsatzlich ergibt sich eine Sicherheitsarchitektur, die 
durch zwei trennbare Sicherheitsdomanen charakterisiert 
ist: Die (AGE) -Abwicklung und das Zahlungs system . Die 
Zahlungsf unktion muB unter Berucksichtigung universeller 

30 und transportspezif ischer voraus- und nachbezahlter 

Zahlungsmittel von der (AGE) -Applikation sicherheitstech- 
nisch getrennt werden konnen. Durch die Architektur muB 
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erreicht warden, dafi sowohl ein Dienstanbieter sein eige- 
nes Zahlungsxnittel emittieren und akzeptieren und damit 
auch die Sicherheitsverfahren selbst bestinmen kann, als 
auch der Einsatz von universellen Zahlungsmitteln unab- 
5 hangiger Emit ten ten mat ubergeordneten Sicherheitsstruk- 
turen ermdglicht wird. 

2. Sicherheitsarchitektur der (AGE) -Abwicklung 
Kommunikationsschnittstellen miissen technisch und orga- 
nisatorisch abgesichert sowie abgestimmt auf die genutzten 
Zahlungssysteme sein. Dazu gehort auch, da£ alle System- 
komponenten in ein institutionalisiertes Verfahren zur 
Zulassung, Priifung und Systemkontrolle eingebunden sind. 
Es nniB fur die Verrechnungsstelle uberpriifbar sein, ob die 
Zahlungsdatensatze aus einem authentischen und zugelasse- 
nen Zahlungsmittel stammen. Die dazu notwendigen Proto- 
kolle und die dazugehdrige Schlusselverwaltung miissen 
standardisiert werden. 

20 3 . Sichejrheitsarchitektur der Z ah lungs sys tenia 

Der Emittent verwaltet die Geldworte eigenverantwor tlich . 
Die Schlussel zur Absicherung der Zahlungsverf ahren be- 
finden sich beim Emittenten bzw. bei von ihm beauftragten 
Instanzen und im Zahlungsmittel. Das (AGE) -System mufi in 

25 der Lage sein, die Zahlungsdatensatze inkl . der benotigten 
Zertifikate transparent waiter zulei ten . 

4 . Implamentierung einer Zulassungss telle 
Implementierung einer Zulassungsstelle , die zustandig ist 
30 fur Wahrung der Systemintegritat , Interoperability t , Zah- 
lungsgarantie und sichere Zusammenarbeit . Dies bedingt 
eine Institutionalisierung der Zulassung, Priifung und 



10 



15 
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Systemkontrolle von beteiligten Funk tionseinhei ten, 
eingesetzten Komponenten und zugelassenen Zahlungsmitteln ; 
die Zulassung kann sich auf lokalen, nationalen oder 
internationalen Einsatz beziehen. Diese Aufgabe kann auch 
5 durch nationale/ Internationale Clearingstellen ubernommen 
warden, die sowohl das nationale und internationale 
Clearing abwickeln (bilaterale Vereinb&rungen zum Aus- 
tausch anderer Daten (Apportionment) oder bilateral gere- 
gelte Zahlungsabwicklungen sollen selbstverstandlich mog- 
10 lich sein) . 

5 . Zuverlassigkeit 

Die Zuverlassigkeit des Systems xnuA hoch sein, d.h. alle 
zentralen Komponenten mussen f ehlertolerant sein. Zur Er~ 
15 reichung der geforderten Zuverlassigkeit sollen auch 
kryptographische Verfahren eingesetzt werden. 

Anforderungen an das Enforcement 

20 1. Systemf ehler 

a) Nutzer , die korrekt gezahlt haben, durfen nicht als 
Falsch- oder Nichtzahler behandelt werden , 

b) Nutzer, die bezahlen wollten, durfen nicht als 
Falsch- oder Nichtzahler behandelt werden. 

25 

2. Zugriff des Enforcements 

Das Enforcement sollte lediglich eine Zugrif f smoglichkeit 
auf die letzte Transaktion haben. Dabei werden beispiels- 
weise bei einem Verfahren, das mit einer nutzerseitigen 
30 Bezahlvorrichtung und einer anbieterseitigen Erhebungs- 
vorrichtung arbeitet, folgende Faktoren uberpruft: 
Vorhandensein einer zugelassenen Bezahlvorrichtung (OBE) , 
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Vorhandensein einer funktionierenden Erhebungsvorrichtung 
(Road Side Equipment, RSE) , Zeitpunkt, Ort, Hdhe/Tarif der 
letzten Zahlung, Giiltigkeit des Zahlungsmittels , Tarifein- 
stufung hinsichtlich der Kf z-Klassif izierung , ggf . der 
5 tatsachlichen Nutzung, Fahrweg zum Zeitpunkt der Zahlung, 
Fahrzeit beim Durchfahren, Verkehrssituation bei der Erhe- 
bung, Zugehdrigkeit zu Gruppen. Analoge Prufungen erfolgen 
bei einem Varf ahren , bei dem ohne Erhebungsvorrichtung 
(virtuelle Zahlstellen) vorgegangen wird und die wesent- 
10 lichen Funktionen der Erhebungsvorrichtung in eine auto- 
nome Bezahlvorrichtung hineinverlegt sind. 

3 . Fahrscheininhalt 

Der Fahrschein sollte folgenden Minimal inhalt aufweisen: 
15 ID der letzten Zahls telle, Datum und sekundengenaue Zeit- 
angabe , bezahlter Betrag und Wahrung, Zahlnummer des 
Fahrscheines , Klassif izierungsmerkmale , Zertifikat des 
Diens tanbieters . 

20 4 . Aufbewahrungspf licht 

Die Aufbewahrungspf licht des Fahrscheines sollte bis zur 
nachsten Ausfahrt beschrankt sein. 

Anf orderungen an Bezahlvorrichtungen , insbesondere in Form 
25 von OBUs 

1 . Anzeigemoglichkeiten 

Die Bezahlvorrichtung sollte folgende Anzeigemoglichkeiten 
aufweisen : 

30 

a) Gebuhrenhohe 

b) Guthaben 
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c) Abbuchung erf olgt/nicht erfolgt 

d) Uberpriifbarkeit der Funktionen durch Nutzer (Storan- 
zeige) . 

2. Transaktionsspeicheranzeige bzw. -druck 

Die Bezahlvorrichtung soli je nach Realisierungsform in 
der Lage sein, den Transaktionsspeicher (Fahrscheine, Ab- 
buchungsvorgange und -versuche) nur fur den Nutzer anzu- 
zeigen bzw. auszudrucken . 

3. Manipulations s chut z 

Zum Schutz vor Manipulationen mussen Sicherheitsvorkeh- 
rungen logischer, technischer und physikalischer Art fiir 
die Bezahlvorrichtung getroffen werden. 



Die Realisierung des erf in dungs gemaBen Systems erfolgt 
unter der Geltung schon existierender , genereller Stan- 
dards , die den Rahmen des Datenaustausches bei solchen 
Transaktionen vorgeben . Zu nennen sind insbesondere die 
20 folgenden, uberwiegend nicht offentlichen Working Items 
(WI) der europaischen Normierungs organisation CEN im 
Technical Committee 278: 

Wl 1.1.1 Integration of payment systems 
25 WI 1.1.2 Interface specification for clearing between 
operators 

WI 1.2.1 AFC requirements for DSRC 

WI 1.2.3 AFC interface definition for DSRC 

WI 9.2.1 DSRC layer 7 
30 WI 9.2.2 DSRC medium and layer 1 

WI 9.2.3 DSRC layer 2 
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Dazu kommt das sog . Basispapier (Anforderungen an auto- 
matische Gebuhrenerhebungs sy s teme ) des GK 717 AK 1 als 
deutschem SpiegelausschuB zum CEN TC 278 KG 1, der auch 
das deutsche Transaktionsmodell fur die Luftschnitts telle 
5 festgelegt hat. 

Diese Standards def inieren die Komponenten des Systems , 
insbe sonde re die Dateninhalte und deren Verwendung, nur 
begrenzt bzw. nicht. 

10 

Im Stand der Technik sind diverse Vorschlage fur Verfahren 
zur autonatischen Abwicklung von bargeldlosen Zahlungsvor- 
gangen verof f entlicht vorden. 

15 Aus der internationalen Patentanmeldung WO 95/10147 der 
Am tech Corporation ist ein System fur die Gebxihrenerf as- 
sung in Echtzeit fur Autobahn-Mautstellen u.dgl. bekannt. 
Im Vordergrund dieser Verof fentlichung steht die moglichst 
vollstandige Anonymisierung des Zahlungsvorganges , bei dem 

20 jeder RiickschluB auf die Fahrzeugbewegung unmoglich ge- 

macht warden soil. Das System arbeitet mit nutzerseitigen 
Bezahlvorrichtungen, die hier als 11 in- vehicle units" be- 
zeichnet we r den und mit Erhebungsvorrichtungen in Form von 
"roadside collection stations" zusammanarbeiten . Prinzi- 

25 piell erfolgt die Zahlung durch Ubergabe von in Chipkarten 
der OBEs gespeicherten elektronischen Schecks in krypto- 
graphisch versiegelten "Umschlagen" mit zugehorigen 
"Offnern" ( "cryptographically sealed envelopes with 
openers", basierend auf Chaums Technologie der "blind 

30 signatures" mit asymmetrischer Verschlusselung) . Der 

Bezahlungsvorgang verlauft in drei Schritten und verwendet 
spezielle Datenstrukturen fiir die Verschlusselung von 
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Geldbetrag und bes timmten Au thentisierungs daten , wobei 
sich die so strukturierten Daten ausschlieBlich fur die 
Kommunikation an der Zahlstelle einsetzen lassen. Weist 
die Chipkarte den fur die Zahlung benotigten Betrag nicht 
5 mehr auf, muB sie an einem Bankcomputer oder dergleichen 
erst wieder aufge laden werden, was aber offenbar daten - 
mafiig vollig getrennt von den fur den Zahlungsvorgang 
verwendeten speziell strukturierten Daten erfolgt. Fur den 
Fall, daB der Benutzer, statt die Chipkarte an der Zahl- 

10 stelle zunachst wieder aufzuladen r ohne Zahlung die Erhe- 
bungsvorrichtung passiert, soli ein post-payment dadurch 
ermoglicht werden, daB spezielle Fahrzeug- oder Fahrer- 
identitatsdaten, die in der Bezahlvorrichtung gespeichert 
sind, mittels einer speziellen Freischaltung dem Anbieter 

15 zuganglich gemacht werden. 

Dieses System stellt zwar im Regelfall sicher, daB sich 
die Inanspruchnahme der Lei stung durch den Nutzer nicht 
auf diesen zuruckverf olgen laBt, was jedoch nureine, und 

20 keineswegs immer die wichtigste, Anforderung an ein sol- 
ches System ist. Die Offenheit des Systems fur Zahlungs- 
mittel, die geradezu eine gegenuber der Dienstbe zahlung 
nachgeschaltete und unabhangige Zahlungsmittelidentif izie- 
rung ermoglichen muB , ist eine andere, auBerst wichtige 

25 Anforderung, und dieser Anforderung kann ein grundsatzlich 
geschlossenes System wie in WO 95/10147 beschrieben, not- 
wendigerweise nicht gerecht werden . 



Aus EP-A1 0 401 192 ist ein automatisches Gebiahrenerhe- 
30 bungs system fur den Einsatz einer elektronischen Geldborse 
fur StraBen-Benutzungsgebuhren bekannt. Auch hier wird 
eine f ahrzeugseitige Bezahlvorrichtung beschrieben, die 
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mit einer Erhebungsvorrichtung des Leis tungsanbieters 
zusairtmenwirkt. Als Zahlungsmittel sind vorbezahlte Wert- 
einheiten, Kxeditkarten und auch Lastschrif teinzug er- 
wahnt. 

5 

Der eigentliche Bezahlungsvorgang umfafit eine Zwei- 
Schritt-Kommunikation ohne Quittungsubergabe und mit 
kryp to graph ischem Schutz nur fur die Datenubar tragung . 
Obwohl dies im einzelnen nicht beschrieben ist, scheinen 

10 die Verrechnungsdaten f die zwischen Erhebungsvorrichtung 
und Bezahlvorrichtung ausgetauscht warden, speziell fur 
die Abwicklung an der Schnitts telle zwischen beiden Vor- 
richtungen strukturiert zu sein. Eine Datenstruktur , die 
die glatte und problemlose Weiterverarbeitung der Daten im 

15 Gesamtkreislauf einschlie&lich Emit tent, Verrechnungs- 
s telle u.dgl. enndglichen wiirde, ist in dieser Vorver- 
6f f entlichung weder gefordert noch beschrieben. Auch bil- 
det diese Art der Zahlungstransaktion in keinster Weise 
die ublichen Gepf logenheiten eines Zahlvorgangs in mehre- 

20" reh" ScJiritteri durch" Bekanntgabe" des Diens tie is turigsan- 

gebots (a) , Erklarung des Kauf- und Zahlwillens (b) , Fest- 
legung des Preises (c) , Durchfuhrung der Zahlung (d) und 
Bereitstellung des Zahlungsbelegs (e) ab . 

25 Aus EP-A2 0 577 328 (AT&T) ist wiederum ein automatisches 
Zahlungs system, insbesondere eine elektronische Mauterhe- 
bung, der oben schon erwahnten Art bekannt. Dieser Stand 
der Technik beschreibt eine E^inf -Schritt-Kommunikation 
zwischen Bezahlvorrichtung und Erhebungsvorrichtung, bei 

30 der mit einer periodisch geanderten Zufallszahl ein 

spezielles Verschliisse lungs system unter Verwendung eines 
individuellen Chipkartenschliissels eingesetzt wird. 
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Irgendeine Aussage uber die Datenstruktur der Verrech- 
nungsdaten, hinsichtlich deren spaterer Weiterverarbeitung 
beim Acquirer bzw. Emit ten ten u.dgl. wird nicht vorgenom- 
men . 

5 

Aus EP-A2 0 616 302 ist ein elektronisches Erhebungs system 
fur Verkehrsgebuhren bakannt, wobei eine Be 2 ah Ivor rich - 
tung, insbesondere mit vorbezahlten Chipkarten eingesetzt 
wird. Zwar werden in dieser Vorverdf f entlichung auch Be- 

10 griff e verwendet, wie sie in einem offenen System, bei dem 
beliebige elelctronische Zahlungsmittel einsetzbar sind, 
eine Rolle spielen wiirden, jedoch wird nicht dargelegt , 
wie dies zu realisieren ware. Auf die hierfur wesentliche 
uber e ins timmende Datenstruktur in alien Verarbeitungs- 

15 schritten des Zahlungskreislauf s wird nicht eingegangen. 

Ahnlich allgemeine Of f enbarungen zu einerseits Verfahren 
zur automatischen Abwicklung von bargeldlosen Zahlungs- 
vorgangen, andererseits zu speziellen Technologien fur 
20 solche Zwecke, finden sich in US 5,450,087; US 4,303,904; 
EP-A2 0 152 198; GB-A 2 278 704; WO 91/18354; 
WO 93/09621 und EP-A1 0 609 453. 

Allen diesen Verof f entlichungen ist game ins am, dafi sie 
25 wesentliche Voraussetzungen fur ein moglichst unaufwendig 
und dabei sicher betrei hbares offenes und interoperable s 
System nicht ansprechen oder sogar durch ihre Iconic re ten 
Ma&nahmen ausschlie&en . Keine dieser Entgegenhaltungen 
beschreibt ein Verfahren der erf indungsgemafien Art, bei 
30 dem trotz gewahrleisteter Sicherheits- und Anonymitats- 
standards die Abwicklung des Bezahlvorganges zwischen 
Nutzer und Leistungs- bzw. Dienstanbieters so ausgelegt 
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ist, daB die dabei verwendeten Datenstrukturen sich ohne 
aufwendige Trans formati on svorgange oder andere Verarbei- 
tungsschritte auch fur die we iter en Abwicklungs vorgange , 
zwischen Anbieter und Acquirer, zwischen Acquirer und 
5 Em it tent einerseits , sowie zwischen Nutzer und Verkaufs- 
agentur bzw. dieser und dem Emit ten ten einsetzen lassen, 
wie im folgenden noch naher erklart werden wird. 

Eine wesentliche Aufgabe der Erf in dung ist es, diese auch 
10 in der Standardisierung noch verbliebenen Liacken auszuful- 
len, insbesondere hinsichtlich Erzeugung, Funktion und 
vereinheitlichter Verwendung von z ah lungs re le van ten Daten, 
einerseits im Zusammenwirlcen der erf indungsgemaB verwen- 
deten Hardware, andererseits im Kontext des erfindungs- 
15 gemaBen Systems . 

Es ist eine weitere wesentliche Aufgabe der Erfindung, 
Verfahren und Vorrichtungen der eingangs genannten Art 
anzugeben , mit denen eine zuverlassige und sichere, 
20 automatisierte barge ldlose Zahlung unter Wahrung des 
Datenschutzes in kurzester Zeit moglich ist. 

Aufgabe der Erfindung ist es auch, eine bargeldlose 
automatische Gebiihrenerhebung ohne wesentliche Bee in - 
25 trachtigung des Verkehrsf lusses und der Fahrzeugge- 
schwindigkeit zu ermoglichen . 

Verfahren und Vorrichtungen muss en zur Losung dieser Auf- 
gaben so geartet sein und so interagieren , daB sowohl 
30 spezielle als auch universelle , voraus- und nachbezahlte 
Zahlungsznittel zur Be zahlung in einem System zur automa- 
tischen Zahlung bzw. Gebuhrenerhebung verwendet werden 
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Iconnen , wobei fur das Clearing weitestgehend die heute 
schon praktizierten Zahlungsverkehrswege zwischen 
Dienstanbietern und der Bankenwelt einzuhalten sind. 

5 Diese Aufgaben warden erf indungsgemaJS durch die Merkmale 
der unabhangigen Ansp ruche gelds t. 

Vorteilhafte Ausf iih rungs formen ergeben sich aus den je- 
weils abhangigen Unteranspruchen . . 



Das Systemmodell, an dem sich die Entwicklung der erfin- 
dungsgemafien Verfahren, speziell des nachfolgend beschrie- 
benen AGE -2 ah lungs systems orientiert, liegt dem Standard- 
entwurf des CEN TC 278 "Interface Specification for 
15 Clearing between Operators" zugrunde. Dieses in Diagramm 1 
dargestellte Modell unterscheidet die folgenden funf 
Komponenten : 



10 



Benutzer, der unter Einsatz eines Zahlungsmit- 



20 



tels eine Diens tie i stung nutzt, 



Dienstanbieter , der eine Diens tleistung Benut- 



zern anbietet, 



25 



Ver rechnungs s telle , die Transaktionsdaten von 
unter schiedlichen Dienstanbietern entgegennixnmt 
und an die entsprechenden Emit ten ten von Zah- 



30 



lungsmitteln weiterleitet , 

Emittent, der ein Z ah lungs system betreibt, und 
Collection Agent, der fur einen Emit ten ten den 
Verkauf oder das Laden von Z ah lungsmitteln 
durchfuhrt (Verkauf sagentur , Ladeinstanz) . 
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Diagramm 1: CEN TC 278 Systexnmodell 



Die Verrechnungss telle wird im folgenden auch als Acquirer 
5 bezeichnet. 

Im dargestellten Systemmodell entsprechen die Pfeile des 
inner en Kreises dem FluB der zahlungsrelevanten Daten, die 
Pfeile im auBeren Kreis den mo ne tar en und sachlichen 
10 (Kauf- oder Dions tie is tungs-) Beziehungen . 

Die fur die Konzeption des AGE -Zahlungs systems entschei- 
dende funktionale Trennung zwischen den Applikationen 
Zahlungs system und automatische Gebiihrenerhebung ist 
15 bereits in diesem Modell durch die grundsatzliche Unter- 
scheidung zwischen Emit tent (des Zahlungsmittels) und 
Dienstanbieter vorbereitet. 

In einem weiter dif f erenzierten Modell, das die eigent- 
20 liche Grundlage fur die Entwicklung des Konzepts bildet, 

ist zu berucksichtigen , da£ 

die Verwendung eines Zahlungsmittels in einem 
Umfeld wie dem AGE-Umfeld nur "kontaktlos" (be- 
ruhrungsf rei) moglich ist, da der zahlungsrele- 
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vante Datenaustausch uber eine Funkubertragung 
im Mikrowellen- oder Inf rar other eich (DSRC - 
Dedicated Short Range Communication) oder uber 
Zellularfunk (z.B, GSM - Global System for 
5 Mobile Telecommunication) erfolgt, 

- die aus Datenschutzgriinden gef order te Trennung 
von Bewegungs- von Zahlungsdaten und die aus 
Kostengriinden gevriinschte Beschrankung von Da ten, 
die in den Zahlungsverkehr eingeleitet warden, 

10 i.a. nur durch eine entsprechende Aggregation 

von Transaktionsdaten in einer Konzentrator- 
s telle des Dienstanbieters moglich sind, und 
die Xnteressen aller Systembeteiligten auch 
durch organisatorische und rechtliche Mafinahmen 

IB geschutzt we r den miissen. 



Die Erfindung ermogiicht dies bei beiden alternativ bean- 
spruchten Verfahren, gemaA den beigefugten Anspruchen 1 
und 2 . 

Bei den in Anspruch 1 und 2 def inierten Verfahren wird das 
obige Mo dell erganzt durch die Koraponenten 



Zahlungsmittel (Payment Means) / anhand dessen 
25 der Bezahlvorgang vom Benutzer durchgefuhrt 

wird, 

Bezahlvorrichtung in Form eines On-Board Equip- 
ment (OBE) , die einer seits die Zahlungs option 
eines Benutzers (Borsenzahlung oder Kontozahlung 
30 je nach eingesetztem Zahlungsmittel) entgegen- 

niinmt , andererseits die tatsachliche Zahlung von 
AGE-Gebiihren im Auf trag des Benutzers und auf 
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explizite odor implizite Anfordarung des Dienst- 
anbieters uber don Transponder (OBU, On-Board- 
Unit) durchfiihrt, 

Zahlstelle in Form einas physischen Road-Side 
5 Equipment (RSE) , das die AGE-Zahlstelle eines 

Dienstanbieters (Service Provider) darstellt und 
entweder Gebuhren von passierenden Fahrzeugen 
erhebt Oder Eintritts tickets ausstellt, oder in 
Form eines virtuellen Road- Side -Equipment , das 
10 in einer nutzerseitigen Erkennungsvorrichtung 

die autonome Zahlungsausldsung und -vornahme 
durch den Nutzer ermoglicht; 

Konzentrator eines Dienstanbieters, der die 
Bewegungs- von den Zahlungsdaten aus AGE- 

15 Transaktionen trennt und kumulierte Forderungen 

an die Acquirer weiterleitet , 
AGE-Kontrollstelle (Enforcement) , die eine 
Bezahlvorrichtung (OBE) zum Nachweis der zuletzt 
getatigten Zahlung veranlassen kann, und 

20 - Zulassungsinstanz (Certification Authority) , die 

sicherstellt , dafl nur solche Systerokomponenten 
eingesetzt warden Jconnen , die alle notwendigen 
Auflagen wie z.B. des Datenschutzes , der IT- 
Sicherheit, der Revisionsf ahigkeit und der 

25 Justitiabilitat von Vereinbarungen (Vertrags- 

beziehungen) erf ullen . 



Das Systenmodell ist fur die Variante gemaJB Patentanspruch 
1 im Diagramm 2 naher veranschaulicht . 

30 

In einem interoperablen , ubernationalen und (bezuglich der 
Zahlungsmittel) offenen AGE-System kann die Sicherheit 
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aller Systemteilnehmer nur durch eine Koxnbination 
technischer , organisatorischer und rechtlicher Mafinahmen 
gewahrleistet warden, deren Einhaltung durch eine Zu- 
lassungsins tanz kontrolliert wird, was zu einer Institu- 
5 tionalisierung des Gesamtsys terns fuhrt. 

Ohne das Zusammenwirken von Technik, Organisation, Recht 
und Institutionalierung ist eine offene Systemgestaltung, 
die alien Systemteilnehmern im Rahmen der allgemein ver- 
10 bindlichen Rahmenbedingungen weitestgehende En tschei dungs - 
autonomie laflt, nicht realisiert. 




Diagramm 2: Sys temmodell des Konzepts 

15 

Bex dem automatischen Gebuhrenerhebungsverf ahren bzw. - 
system (AGE) ist grundsatzlich gefordert, da£ keine unxnit- 
telbaren personen- und f ahr zeugbezogene Daten verarbeitet 
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und gespeichert werden diirfen. Der gesamte r in sich 
geschlossene Erhebungsvorgang 1st so gestaltet, da£ keine 
verfolgbaren Datenspuren entstehen. Im Prinzip teilt sich 
das AGE-Verf ahren in drei getrennte Bereiche auf , bei 
5 denen jeweils diese Forderung zu berucksichtigen ist: 



1) die Gebuhrenermittlung mit den Schritten 
Bekanntgabe des Dienstleis tungsangobots (a) , 
Erklarung des Kauf - und Zahlwillens (b) , 

10 Festlegung des Preises (c) 

2) der Bezahlvorgang 

3) die Quit tun gsiibergabe 

Die Gebiihrenennittlung erfolgt bei der Alternative gemafi 
15 Anspruch 1 dabei im Dialog zwischan der Bezahlvorrichtung , 
im Beispielsf all dem transportablen Transponder bzw. OBU 
(On-Board-Unit) mit der Zahlungskar te , und der Erhebungs- 
vorrichtung, im Beispielsf all dem ortsfesten Abf ragesender 
bzw. RSE (Road- Side -Equipment) . Bei der Alternative gemafl 
20 Anspruch 2 erfolgt die Gebuhrenermittlung in der Bezahl- 
vorrichtung des Nutzers ohne exteme Einwirkung (d.h. au- 
tonom) aufgrund der Auswertung einer gespeicherten Tabelle 
oder des Ergebnisses eines entsprechenden Algorithmus. 
Ubermittlung von (Einzel-) Personen- und Fahrzeugdaten 
25 sowie Speicherung von Daten sind nicht notwendig. 



Vorteilhaf terweise kann beim Bezahlvorgang der Benutzer 
da ruber entscheiden, welches (zugelassene) Zahlungsmittel 
er einsetzt. 

Xm folgenden werden die einzelnen Systemkomponenten 
Zahlungsmittel , 
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On-Board Equipment:, 
- Road-Side Equipment, 
Konzentrator , 
Acquirer , 
5 - Emittent , 

Collection Agent 

AGE-Kontrolls telle (Enforcement) und 
Zulas sungs ins tanz (Institutionalisierung) 
beziiglich ihrer Funk ti on und Realisierungsoptionen naher 
10 beschrieben. 



Zahlungsmittel 

Der Begriff Zahlungsmittel bezeichnet die Art und Weise , 
15 wie ein Benutzer, d.h. Dienstnehmer im AGE -System (bar- 

geldlos) die Dienstlei stung eines Dienstanbieters bezahlt, 
und umfaBt alle fur den Z ah Ivor gang und seine Absicherung 
notwendigen Funktionen und Daten. Prinzipiell sollen fur 
die automatische Gebiihrenerhebung beliebige Zahlungsmittel 
20 bzw. -optionen zugelassen warden, wobei der Benutzer 

grundsatzliche Wahlfreiheit haben mu5 (d.h. gleiche Gebuh- 
renhohe fur alle zugelassenen Zahlungsmittel) : 



Vorausbezahlung (Prepayment) durch Einsatz einer 
25 elektronischen Geldborse oder Kachbezahlung 

(Postpayment) durch Angabe eines Kredit- oder 
DebitJcontos , 

Einsatz eines universellen (d.h. dienstunabhan- 
gigen) oder eines transportspezif ischen (z.B. 
30 AGE-) Zahlungsmittels , 

- Einsatz eines Zahlungsmittels , das entweder 

regional (z.B. regional gultiges Zahlungsmittel 
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eines Autobahnbetreibers) oder \iber regional 
(z.B. nationale Geldborse) oder international 
(d.h. ubernational von der Zulassungsinstanz als 
von alien AGE -Di ens tanbie tern zu akzeptierendes 
5 Zahlungsmittel vorgeschrieben) akzeptiert wird. 

Die grundlegende Trennung zwischen den Applikationen 
Zahlungsmittel und automatische Gebuhrenerhebung und die 
Verwendbarlceit eines universellen Zahlungsmittels bei der 
automatischen Gebuhrenerhebung machen es erforderlich , da£ 
als Trager fur das Zahlungsmittel ein technisch ausgereif- 
tes , preiswertes , allgemein akzeptiertes und vor a 11am 
sicheres Medium verwendet wird. Daher wird im Konzept 
davon ausgegangen r daB das Zahlungsmittel im allgemeinen 
eine Applikation in einer multif unktionalen Standard-Chip- 
karte darstellt. Solche universal einsetzbaren Chipkarten 
werden als Trager elektronischer Geldborsen in wenigen 
Jahren zum Bargeldersatz weit verbreitet sein und mussen 
daher prinzipiell auch fur die AGE-Gebiihrenentrichtung 
zugelassen werden. 

Durch diesen Ansatz ist in der technischen Auspragung der 
Bezahlvorrichtung , i.e. des On-Board Equipments (OBE) wie 
z.B. im Diagramm 2, die Moglichkeit eroffnet, dafi die 
25 Chipkarte nicht nur Trager des Zahlungsmittels sein darf, 
sondern auch die Applikation automatische Gebuhrenerhebung 
beixihalten kann (vgl . den folgenden Abschnitt) . 

Andererseits soil durch diesen Ansatz nicht ausgeschlossen 
30 werden, da£ in der einfachsten Real isierungs form ein 

transportspezif isches Zahlungsmittel integraler (funktio- 
naler) Bestandteil des On-Board Equipments ist. Beispiels- 



15 
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weise muB es moglich sein, bei Grenzubertritt ein OBE 
leihweise zu erwerben, in dessen Speicher (z.B. EE PROM - 
Chip) ein bestimmter vorausbezahlter Verf iigungsbetrag 
geladen ist. 

5 

Grundsatzlich muB beim Einsatz eines Zahlungsmittels in 
einem AGE -System (wio bei der Be z ah lung fur jeden anderen 
Dienst auch) sichergestellt sein, daB die rechtlichen 
Vereinbaxungen , die zwischen den Zahlungsmittelemittenten , 

10 den Acquirern und den Dienstanbietern zu treffen sind, 

nicht durch die Technik unterlaufen warden. Insbesondere 
miissen die sicherheitsrelevanten Anf orderungen , die der 
Zahlungsgarantie gegenuber dam Dienstanbieter zugrunde 
liegen, erfullt werden , was durch die Institutionalisie- 

15 rung sicherzustellen ist. Daher miissen die verschiedenen 
Interessen von Emittenten und Dienstanbietern prinzipiell 
durch getrennte S i ch erne its domanen gewahrt werden konnen. 

Folglich wird im Konzept davon ausgegangen, da£ sowohl die 
20 Application Zahlungsmittel als auch die Application Auto- 
matische Gebuhrenerhebung grundsatzlich ihre eigenen, von- 
einander separierten Sicherheitsverf ahren besitzen konnen, 
die in der Standardisierung (z.B. fur die elektronische 
Geldborse) als Security Application Module (SAM) bezeich- 
25 net werden. 

Ein SAM ist irnmer dann einzusetzen, wenn zum Schutz von 
Transaktionen besonders sensible Sicherheitsf unktionen 
vorhanden sein miissen, und besteht aus einer Software- und 
30 einer Hardwarekomponente . Die Sof twarekomponente besteht 

aus einer Ablaufkon troll logik fur die zu schutzende Anwen- 
dung und enthalt Vers chliisselungsa Igor ithmen , geheime 
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kryptogr aphis che Schlussel und sonstige sicherheitsrele- 
vante Da ten und Parameter, wahrend die Hardware komponente 
dem Schutz der Sicherheitsf unktionen selbst dient. 

5 Erfindungsgemafi konnen die beiden SAMs identisch sein . 
Dies ermoglicht es , dafl im Falle einer einfachen OBE- 
Realisierungsfbrm oder im Falle, dafi ein AGE-Dienstan- 
bieter sein eigenes Zahlungsmittel emittiert, beide Appli- 
kationen eine gemeinsame Sicherheitsdomane bilden und da- 
10 her die gleichen Sicherheitsmechanismen und Schlussel 
nutzen . 

Erf indungsgemaB wird vorzugsweise vorgesehen, da£ eine 
Chipkarte, die Trager des Zahlungsmittels , nicht jodoch 
15 der AGE-Applikation ist, ein eigenes SAM besitzt, iiber das 
die Rechtmafiigkeit der Verwendung des Zahlungsmittels in 
einem AGE -System gepruft bzw. sichergestellt warden kann . 

Es wird waiter hin bavorzugt, da£ aus Gr tin den der Akzeptanz 
20 und Interoperabilitat nur Chipkarten eingesetzt werden, 
deren physikalischen und elektrischen Eigenschaf ten im 
ISO-Standard 7816, Teil 1-3 bzw. in der CEN-Pranorm prENV 
1855 festgelegt sind. Das chipinterne logische Datenmodell 
ist in 7816-5 durch eine Baumstruktur vorgegeben, die auf 
25 der hochsten Ebene ein Hauptverzeichnis (Master File, MF) 
besitzt, unter dem einzelne Dateien (Elementary File, EF) 
oder Unterverzeichnisse (Dedicated File, DF) angesiedelt 
sind. Dieser Art der Datenstrukturierung wird vorzugsweise 
auch fur die in der OBU angesiedelten Applikationen und 
30 Daten vorgesehen, vor allexa im Falle der OBE-Realisie- 

rungsoption I "Kompakt-Losung" , die weiter unten beschrie- 
ben ist. 
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Das MF wird vom Kartenhersteller angelegt und vom Karten- 
emittenten personalisiert, d.h. mit den direkt untergeord- 
neten EFs beschrieben oder - falls schon vorhanden - gean- 
5 dert. Das Hauptverzeichnis der Karte enthalt allgemeine 

Informationen zur Karte und ihren Eigenschaf ten (Daten zur 
Chip-, Modul- und Kartenherstellung , technische Kenngro- 
lien, verfugbare Applikationen und Selektionsmoglichlceiten , 
Aktivierungs- und Verf alldatum, Landerkennung etc.) , zuni 
10 Kartenbesitzer (Name, Sprachpraf erenz , PIN-Schutz usw.) 

und zu den applikationsunabhangigen Sicherheitsmechanismen 
und -daten . 

Jedes Unterverzeichnis auf der nachsten Ebene entspricht 
15 einer Applikation und wird nach Wahl des Kartenbesitzers 
und unter Verantwortung des Kartenemittenten angelegt bzw. 
unter Verantwortung des Applikationsemittenten personali- 
siert und ggf . aktualisiert . Ein Unterverzeichnis kann aus 
weiteren Onterverzeichnissen oder einzelnen Dateien beste- 
2 0 hen . 

Mit dieser logischen Datenstrukturierung ist es xndglich, 
die funktionale Trennung zwischen den verschiedenen Betei- 
ligten bei der Modulherstellung, der Kartenvorbereitung 

25 und der Karten- und Applikationsherausgabe sowie die 

rechtliche Unabhangigkeit zwischen verschiedenen Applika- 
tionsemittenten auch technisch so zu unterstiitzen , daS 
z.B. ungewollte Wechselwirkungen zwischen verschiedenen 
Applikationen und deren Sicherheitsmechanismen zuverlassig 

30 unterbunden werden konnen. In diesem Zusammenhang ist von 
besonderer Bedeutung der ISO-Standard 10202, der die 
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Sicherheitsarchitektur von Kredit- und Debitkarten fest- 
lagt . 



On -Board Equipment (OBE) 

5 

Ein wesentliches Element der Erfindung 1st die Vomahme 
von Zahlungsmittel-Benutzungshandlungen durch die Bezahl- 
vorrichtung statt durch den Nutzer, so daB die Handlungen 
automatisiert warden . Fur AGE-Systeme und vergleichbare 

10 Systeme, die mit erf indungsgemaBen Verfahren arbeiten, 

wird die Be zahl vorrichtung vorzugsweise in Form des schon 
genannten On -Board- Equipment (OBE) realisiert. Bei den 
beiden, in den Paten tan spruchen 1 und 2 definierten Ver- 
fahrens alter nativen der Erfindung ubernimmt die Bezahl- 

15 vorrichtung in jeweils unterschiedlichem MaB die Abwick- 
lung des Bezahlvorgangs und entsprechend unterschiedlich 
wird die OBE ausgestattet . 



Bei der Alternative gemaB Anspruch 1 ubernimmt die Be- 
20 zahl vorrichtung im wesentlichen nur die dam Nutzer vor- 
behaltenen Verf ahrensschritte , wahrend die fiir den An- 
bieter typischen Verf ahrensschritte von der Erhebungs- 
vorrichtung durchgefiihrt werden. 



25 Bei der Alternative des Anspruches 2 ubernimmt die Be- 
zahlvorrichtung zusatzlich auch die wesentlichen Funk- 
tionen der Erhebungsvorrichtung , insbesondere die Be- 
reitstellung der Daten , die die zu zahlende Gebuhr etc. 
reprasentieren , sowie die Durchfuhrung und Registrierung 

30 der Zahlung und die Erstellung und Speicherung der 
Quittung . 
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Die in beiden Fallon seitens des Anbieters wiinschenswerte 
Kontrolle der tatsachlichen Zahlung ist bei den Altarna- 
tiven der Anspriiche 1 und 2 im Prinzip gleichartig, kann 
aber technisch unterschiedlich ausgepragt sein . So ist 
5 beispielsweise die Uberprufung der in der Bezahlvorrich- 
tung gespeicherten Daten zu den Zahlungsbelegen nur stich- 
probenartig oder fallweise oder im Fall der Alternative 
des Anspruchs 2 auch periodisch, z.B. jeweils nach einer 
konfigurierbaren Anzahl von Bezahlvorgangen automatisch 

10 durch Aufbau einer geeigneten Kommunikationsschnitts telle 
mit einer (virtuellen) AGE -Kontrol Is telle moglich. Auf 
jeden Fall wird man es bei der Realisierung der Erfindung 
zur Vermeidung eines unverhaltnismaBigen Aufwands meist 
vor Ziehen, die Kontrollf unktion nicht mit der Erhebungs- 

15 vorrichtung fest zu verbinden (sog. abgesetzte Kontrolle 
im Gegensatz zur integrierten Kontrolle) . Solche Kontrol- 
len werden auch meist dem erf indungsgemaBen Ablauf der 
Zahlungsabwicklung ortlich und zeitlich nachgeschaltet 
durchgefiihrt werden. 

20 

Im folgenden wird die Erf indung zunachst an einem Ausfuh- 
rungsbeispiel einer OBE fur die Realisierung der Alter- 
native gemaB Anspruch 1 naher beschrieben, bei der Bezahl- 
vorrichtung und Erhebungsvorrichtung eine Kommunikations- 
25 schnitts telle bilden, wobei sich fur den Fachmann jedoch 
ohne weiteres ergibt, daB erhebliche Teile dieser Be- 
schreibung auch fur die Realisierung der Alternative gemafi 
Anspruch 2 zutreffen. 



30 Da fur die automatische Gebiihrenerhebung zwischen dem 
Tragermedium des Zahlungsmittels und der Gebiihrenerhe- 
bungsanlage des Dienstanbieters ein kontaktbehaf teter 
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Datenaustausch fur den Zahlvorgang ausscheidet , erfolgt 
die Kommunikation zwischen den beiden Systemkomponenten 
uber eine Funkuber tragung , die auf Seiten des Benutzers 
durch das On-Board Equipment (OBE) im Fahrzeug durchge- 
5 fiihrt wird (Luf tschnitts telle) . 

Neben den harten Zeitrestriktionen im Falle einer Kurz- 
distanz-Kommunikation uber die Luf tschnittstelle bei 
Hochstgeschwindigkeit sind die datenschutzrechtliche 

10 Anforderung der Trennung von Bewegungs- und Zahlungsdaten 
und die Wirtschaf tlichkeits anforderung der Beschrankung 
der zahlungsrelevanten Datenmengen die wichtigsten Grunde, 
da£ beim Einsatz eines universellen Borsen-Zahlungsmittels 
im allgemeinen, d.h. im Falle getrennter Sicherheitsdoma- 

15 nen, zwischen dezn zertif izierten Verf ugungsbetrag , der im 
On-Board Equipment verwaltet wird, und den davon zu 
diskontierenden Einzelgebuhren zu unterscheiden 1st. 

Insbesondere bedeutet dies, da& fur den Zahlvorgang meist 
20 keine direkte Kommunikation zwischen Zahlungsmittel und 

Gebuhrenerhebungss telle mdglich ist, sondern die Zahlungs- 
bestatigung einer AGE-Gebuhr zusammen mi t dem zertif izier- 
ten Verf ugungsbetrag oder der zertif izierten Kontoinfor- 
mation an die Gebuhrenerhebungss telle ubergeben wird. Vor 
25 der Weiterleitung der Einzelf orderung (d.h. jeder einzel- 
nen automatisch eingezogenen Gebiihr) durch den Dienstan- 
bieter an den Acquirer erfolgt eine Aggregation der zah- 
lungsrelevanten Inf ormationen bezuglich der vom Zahlungs- 
mittel zertif izierten Daten. 

30 



In Fallen, in denen eine direkte Kommunikation zwischen 
dem Zahlungsmittel und der Gebuhrenerhebungss telle mdglich 
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ist (z.B. durch eine Ende-zu-Ende-Kommunikation zwischen 
der Chipkarte und dom Road- Side -Equipment) oder ein 
Dienstanbieter sein eigenes Zahlungsmittel emittiert, kann 
evtl. auf eine zusatzliche Zertif izierung des Abbuchungs- 
5 betrages wahxend einer AGE-Zahlung verzichtet werden. 

Konzeptionell besteht das On-Board Equipment aus den fol- 
genden logisch zu sepaxierenden Funktionseinheiten : 

10 - Kommunikationssystem: dieser technische OBE-Teil 

wickelt den ubertragungsbezogenen Teil des 
Kommunikationsprotokolls auf der Luftschnitt- 
stelle {z.B. DSRC oder GSM) und eventuell - 
abhangig von der technischen Realisierungsf orm , 

15 s.u. - das Chipkartenprotokoll (z.B. T=l gemafi 

ISO 7816-3) ab und ist fur die Ansteuerung der 
Bedienelemente, Display, Kontrolleuchten usw. 
zustandig; 

AGE-Anwendung: diese logische Funktionseinheit 
20 wird aufgrund von Aktionen aktiv, die vom Be- 

nutzer , von den Gebuhrenerhebungssystemen eines 
Dienstanbieter s , der Ortungskomponente fur vir- 
tuelle Zahlstellen oder den AGE-Kontrollstellen 
angestofien werden, wickelt die Verarbeitung und 
25 Speicherung von AGE-bezogenen Da ten und den 

anwendungsbezogenen Teil der Kommunikation znit 
anderen Sy s temkomponenten ab und verwaltet einen 
oder mehrere Ticketspeicher ; integraler Bestand- 
teil dieser Funktionseinheit kann das AGE-SAM 
30 sein, das mit kryptographischen Mechanismen 

insbesondere die Authentizitat und Ordnungs- 
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mafligkeit einer Gebiihrenerhebung , des Zahlvor- 
ganges und des Zahlungsnachweises sichers tellt ; 
und 

Zahlungsmittel : von der AGE -An wen dung separiert 
5 1st die logische Punktionseinheit des Zahlungs- 

mittels , die auf Anstofi der AGE -Anwendung oder 
einer Lade ins tan z aktiv wird und mit diesen in 
Interaktion tritt; das Zahlungsmittel besitzt im 
allgemeinen ein eigenes SAM, das die zahlungs- 
10 relevanten Transaction en mit der externen Welt 

(z.B. Kartenakzep tan zs telle oder Ladeinstanz, 
hier: AGE -Anwendung) ab si chert. 



Die technischen OBE-Komponenten wie Tasten, Display, Kon- 
15 takte etc. werden in dies em Zusammenhang nicht erlautert, 
da sie fur die funktionale Konzeption irrelevant sind. 
Diese Komponenten sind im Stand der Technik grundsatzlich 
bekannt . 



Ofr-Board Equipment 
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Diagramm 3 



Logischer Aufbau eines On -Board Equipment 
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Der logische Aufbau des OBE ist im Diagramm 3 veranschau- 
licht. 

Erf indungsgemaB sind durch diese Konzeption mehrere Reali- 
5 s ierungsoptionen mdglich. 

Option I: "Kompakt- 1*6 sung" 

In der einfachsten Realisierungsf orm besteht das OBE 
10 aus einer einzigen technischen Einheit, die alle 

logischen Funktionseinheiten integriert (OBE und OBU 
koinzidieren in dies em Fall und bilden die Bezahl- 
vorrichtung) . Diese Form kann z.B. dazu verwendet 
werden, urn beim Grenzubertritt leihweise ein OBE zu 
15 erwerben, das in ein em internen Speicher mit einem 

bestimmten^ vorausbezahlten Verf iigungsbetrag geladen 
ist, der sukzessive aufgebraucht und an speziellen 
Ladegeraten wieder auf geladen werden kann. Dies ent- 
spricht den Eigenschaf ten eines vorausbezahlten, 
20 transportspezif ischen und nationalen Zahlungsmittels . 

Diese Variante ist auch adaquat, wenn z.B. GroBkunden 
TPi t Dienstanbietern Sonderkonditionen vereinbaren und 
die Zahlung uber ein Zentralkonto erfolgt. Dies ent- 
25 spricht den Eigenschaf ten eines nachbazahlten , 

transportspezif ischen und regionalen oder uberregio- 
nalen Zahlungsmittels . 

In dieser Re alisie rungs form kann mit be sonde rem Vor- 
30 teil vorgesehen werden r dafi das logische Da ten- und 

Applikationsmodel der OBU wie im Falle einer Chipkar- 
te aufgebaut ist, da alle logischen Funktionseinhei- 
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ten aus Kostengrunden sinnvollerweise auf einem 
einzigen Chip vereint sind. Weiterhin kann ein Chip 
aufgrund seiner technischen und logischen Eigen- 
schaften unter bestimmten Voraussetzungen als Hard- 
5 ware-Sicherheitsmodul eingesetzt werden , so da£ 

prinzipiell die beiden Applikations-SAM funktional 
zusammengefaBt werden konnen , da letztlich nur die 
Kommunikation uber die Luf tschnittstelle abzusichern 
is t . 

0 

Option II : " Transponder -L6 sung" 



In dieser Realisierungsform ist das Koxnmunikations- 
system technisch getrennt vom Zahlungsmittel und der 
15 AGE-Applikation, die g erne ins am auf einer Standard- 

Chipkarte vereint sind. Im Falle eines transport- 
spezifischen Zahlungsmittels ist es auch bei dieser 
Variante moglich, das AGE-SAM und das Zahlungsmittel - 
SAM funktional zu vereinen . 

20 

Andererseits ist es denkbar, da£ die Emittenten der 
AGE-Anwendung und des Zahlungsmittels juristisch un- 
abhangige Institutionen sind oder das Zahlungsmittel 
universellen Charakter hat, so daB die rechtliche Be- 

25 ziehung zwischen AGE-Dienstanbieter und Zahlungsmit- 

telemittent auch sicherheits technisch (d.h. krypto- 
graphisch) geschutzt werden mu£ . In dies em Fall kon- 
nen beide Anwendungen zur Trennung der Sicherheits - 
domanen prinzipiell ihr eigenes SAM besitzen, wobei 

30 die Interaktion der SAMs uber ein entsprechendes Key- 

management kontrolliert werden mufi . 
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Option III: "Standard-Lb sung" 

Eine weitere Alternative besteht darin, daB das Kom- 
munikations system zusasunen mit der AGE -Anwendung in 
5 der On-Board Unit residieren, wahrend das Zahlungs- 

mittel davon vollig getrennt in einer Standard-Chip- 
karte integriert ist. Damit wird im Konzept auch die 
Zahlung mit universellen elektronischen Geldborsen 
unterstutit, die zukiinftig als Bargeldersatz weite 
10 Verbreitung finden warden. Ebenfalls kann jedes an- 

dere universelle zugelassene Zahlungsmittel auf Basis 
von Standard-Chipkarten im Konzept zur AGE-Gebuhren- 
z ah lung verwendet we r den . 

15 - Option IV: "2-Chipkarten-Ldsung" 

Die aufwendigste Realisierungsf orm, die aber auch die 
groBte Flexibilitat bietet, ermoglicht getrennte 
Chipkarten fur die Applikationen Zahlungsmittel und 

20 AGE -Anwendung, was ohne die rechtliche Unabhangigkeit 

der entsprechenden Emit ten ten wenig sinnvoll ist. 
Daher ist hierbei grundsatzlich von der Existenz 
eines Zahlungsmittel -SAM und eines davon getrennten 
AGE-Anwendungs-SAM auszugehen, da unabhangig von den 

25 Zahlungsmitteleigenschaf ten immer die rechtliche Be- 

ziehung zwischen den Emit ten ten auch technisch zu 
verankern und abzusichern ist. In diesem Fall redu- 
ziert sich die OBU funktional auf das Kommunikations- 
system, das z.B. fest in ein Fahrzeug eingebaut und 

30 mit zwei Chipkartenlesern ausgestattet ist. 
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Grundsatzlich ist vorgesehen, da& die jeweils let z ten AGE* 
Trans aktionen (die Gesamtzahl ist unabhangig von der 
Realisierungsfonn des OBE) standig ixn Transaktionsspeicher 
gespeichert bleiben, damit dem Benutzer die Moglichkeit 
5 gegeben ist, die letzten Z ah lunge n zu pnifen. Neb en der 
Kontrolle der Tickets per Display wird fur jede Option ein 
Verfahren vorgesehen, zusatzlich die Zahlungsbelege auszu- 
drucken . 

10 Bei Option 1 kann dies z.B. dadurch ermoglicht warden, da£ 
die OBU aus dem Fahrzeug entnommen und an einem Lesegerat 
(der Ladeeinsatz oder Verkauf sagentur) der Transaktions- 
speicher ausgedruckt wird. Im Fall der Optionen II, III 
und IV kann statt dessen der Transaktionsspeicher in einer 

15 Chipkarte liegen und entsprechend an einem externen Chip- 
kartenlesegerat ausgedruckt warden. 

Daruber hinaus verfugt das OBE uber weitere optische und 
akustische Anzeigen, mit denen bestimmte Betriebs- und 
20 Transaktionszustande (Gebuhrenhohe , Guthaben, Zahlung 

erfolgt oder nicht erfolgt, Spannungsabf all , Enforcement 
etc . ) signalisiert werden konnen . 

Road- Side Equipment 

25 

Als Road-Side Equipment (RSE) wird in dies em Konzept 
generell dasjenige Endgerat eines AGE-Dienstanbieters be- 
zeichnet, das zur automatischen Gebuhrenerhebung an einer 
Zahls telle oder zur Aus ste Hung von Eintritts tickets an 
30 einer Einfahrtss telle in eine Koxnmunikationsbeziehung mit 
einem On-Board Equipment eines Dienstnehmers tritt. 
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Die typische Realisierungsf ona zur Erhobung von Strafien- 
benutzungsgebiihren basiert auf Erhebungsstationen , die an 
der StraBe installiert sind und uber Mikrowelle oder 
Infrarot in einen Datenaustausch xnit passierenden Fahr- 
5 zeugen treten . Durch dieses Konzept werden jedoch auch 

solche AGE-Systeme unterstiitit, die nicht der Erhebung von 
StraBenbenutzungsgebiihren, sondern z.B. von Park (haus) ge- 
biihren dienen . 

Daneben gibt es GNSS-basierte AGE-Systeme (Global Navi- 
gation Satellite System, z.B. GPS) , die en t we der (im Sinne 
der Alternative gemaB Anspruch 2) autonom funktionieren 
(d.h. Gebiihrenentrichtung nur durch eine interne Daten- 
verarbeitung der Bezahivorrichtung , insbesondere ohne 
externe Konnaunikation) oder in eine Funkkommunikation z.B. 
uber GSM mit einer externen Erhebungss telle treten. In 
diesen Fallen erfolgt der AnstoB fur die Gebuhrenentrich- 
tung durch Erreichen einer bestimmten geogr aphis chen Posi- 
tion, die von einem f ahrzeuginternen Ortungsmodul festge- 
stellt wird (z.B. durch Empfang von GPS-Signalen und Ab- 
gleich mit einer digitalen Landkarte) , so daB hauf ig auch 
von virtueller Zahlstelle oder virtue llem Road- Side -Equip- 
ment gesprochen wird . 

25 Die wich tigs ten Funk tionseinhei ten des RSE sind: 

AGE-Steuerungsmodul , das sowohl periodisch als auch 
ereignisorientiert die anwendungsbezogene Kommuni- 
kation uber die Luftschnitts telle abwickelt, die 
30 automatische Gebuhrenermittlung und -erhebung oder 

Ticketausstellung fur erfaBte Fahrzeuge durchfiihrt 
und die zahlungsrelevanten Daten aufbereitet; inte- 
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graler Bestandtoil dieser Funktionseinheit kann ein 
SAM sein, das mit kryptographischen Mechanismen die 
Integritat und Authentizitat von Da ten , Ere ignis sen 
und Koxnmunikationspartnern zuverlassig kontrolliert . 

5 

Kommunikations system, das einerseits die Sende- und 
Empf angseinrichtung fur den ubertragungstechnischen 
Teil des Kommunikationsprotokolls auf der Luf t- 
schnitts telle beinhaltet und andererseits die Waiter- 
10 leitung oder Ubertragung von Transaktionsdateien zur 

Einleitung in den Zahlungsverkehr abwickelt, und 

ggf . ein Transaktionsspeicher , in dem die zahlungs- 
relevanten Daten aus AGE -Transaktionen gesammelt, 
15 zwischengespeichert und evtl . vorkonzentriert we r den 

konnen . 

Ixn allgemeinen Fall ist das RSE uber eine Kommunikations - 
leitung mit einem Host des Dienstanbieters (z.B. Konzen- 

20 trator) verbunden, uber die periodisch, z.B. taglich, die 
lokal gesammelten z ah lungs re le van ten Daten in einem ent- 
3p re chen den Protokoll ubertragen werden. In speziellen 
Systemen (z.B. Parkh aus automat) ist es auch moglich , da£ 
der Transaktionsspeicher als Chipkarte oder Diskette 

25 realisiert ist, dessen Inhalt durch Austausch des 

Spe ichermediums in den Zahlungsverkehr eingeleitet werden 
kann, oder dafi der Transaktionsspeicher durch eine 
Funkkommunikation entleert wird. 
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Diagramm 4: Logischer Aufbau eines Road-Side Equipment 

5 Die logische Konzeption des RSE ist im Diagramm 4 veran- 
schaulicht . 

Im Falle eines anonymen, transportspezif ischen und voraus- 
bezahlten Zahlungsmittels kann im AGE-Steuerungsmodul eine 
10 Voraggregation der zahlungsrelevanten Daten so erfolgen, 

dy fi nur noch die Gebuhrensummen an den Host weitergeleitet 
we r den . 



Die Sicherheitsmechanismen des SAM warden vom AGE-Steue- 
15 rnngsmodul vorzugsweise dazu verwendet, um sowohl die 

automatischen Zahlungsvorgange uber die Luftschnitts telle 
gegen unbefugte Manipulation zu schutzen als auch die zah- 
lungsrelevanten Daten, die zur Aggregation an den Konzen- 
trator des Dienstanbieters weitergeleitet werden, vor 
20 unerkannter Veranderung oder Duplizierung abzusichern. 
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Ronzentrator 

Der Konzentrator stellt in dies em Systemmodell die Kopf- 
stelle des Dienstanbieters gegenuber der Clearings belle 
5 dar. Seine Aufgabe besteht darin , von alien RSE des 

Dienstanbieters die zahlungsrelevanten Trans aktions da ten 
entgegenzunehmen bzw. abzurufen, daraus die zahlungsre- 
levanten Einzeldaten zu extrahieren und soweit moglich 
beziiglich der Zahlungsmittel zu aggregieren. Je nach ver- 
10 traglicher Beziehung zwischen Dienstanbieter, Zahlungs- 
mittel emit ten ten und Acquirem werden die Daten beziiglich 
der Zahlungssysteme so getrennt und aufbereitet, da£ sie 
an den oder die Acquirer vreitergeleitet werden konnen. 

15 Da im Konzentrator eine Vielzahl von Einzeldaten zusam- 
menkommt, die zur Ableitung von Bewegungs- und Vernal- 
tens informati one n mifibraucht werden konnten, unterliegen 
diese Daten und ihre Verarbeitungsmoglichkeiten einer 
strengen Zweckbindung , die nach datenschutzrechtlichen 

20 Bestimmungen gewahrleistet und kontrolliert werden mu£ . 
Insbesondere miissen die Trans aktions daten , die aus revi- 
sions technischen Erf ordernissen langfristig gespeichert 
bleiben , wirksam gegen unbef ugte Einsichtnahme , Verwendung 
und Veranderung geschutzt werden. 

25 

Im Falle der Verwendung eines nachbezahlten Zahlungsmit- 
tels im AGE -System kann prinzipiell ein Benutzer eine 
Einzelauf schliisselung der Trans aktionsda ten , die ihm von 
seiner Bank (Emittent) in Rechnung gestellt werden, ver- 
30 langen. Aus datenschutzrechtlichen Grunden ist dies jedoch 
nur dann moglich, wenn der Benutzer sein kontof uhrendes 
Institut explizit ermachtigt, diese Daten von den AGE- 
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Dienstanbietern einzuholen. Der Emittent kann in diesem 
Fall diese Daten beispielsvreise zu einer monatlichen 
Rechnung mit Einzelgebiihrennachweis zusammenstellen und 
dem Benutzer zustellen. 

5 

Acquirer 

Ein Acquirer ist im AGE-Systemmodell diejenige Institu- 
tion, die von alien Dienstanbietern die kumulierten For- 
de run gen beziiglich der von ihm verarbeiteten Zahlungs- 
systeme aufkauf t und die Zahlung vornimmt (Gutschrif t) . 
Die Forderungen werden auf Echtheit und Integritat ge- 
pruft, wobei insbesondere die Authentizitat der Zah- 
lungsmittel anhand der Zertif izierungsdaten , die mit den 
Forderungen mitgelief ert werden, verifiziert wird. Nach 
der entsprechenden Umsortierung und Aufbereitung werden 
die Forderungsdaten an die jeweiligen Emittenten weiter- 
geleitet, damit der Z ah lungs ausgleich (Lastschrif t) er- 
folgen kann. Die Acquir er- Funk t ion kann z.B. von einem 
Kreditinstitut, einer Kartengesellschaf t oder einem 
Frocessing-Dienstleister erbracht werden. 

Das Model 1 ermoglicht die Einbindung eines oder mehrerer 
Acquirer. z.B. ist es denkbar, da£ ein Acquirer ein oder 
mehrere universelle Zahlungsmittel verarbeitet oder als 
nationale oder internationale Kopfstelle fur ein oder 
mehrere transportspezif ische Zahlungsmittel fungiert. Im 
Fall der juristischen Identitat eines Zahlungsmittel- 
emittenten und eines Dienstanbieters kann die Acquirer- 
Funktion auch vom Dienstanbieter selbst erbracht werden. 
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Emit tent 

Der Begriff Emit tent ist im AGE-Systexraaodell als Ober- 
begriff fur den Betreiber oder Harausgaber eines Z ah lungs - 
5 mittels oder ein kontenf uhrendes Kredi tins ti tut zu ver- 
stehen. Je nach Zahlungsmitteleigenschaft kann als 
Emit tent ein Kredi tins ti tut , eine Kartengesellschaf t , ein 
OPNV-Varbund , ein Autobahnbetreiber etc. f ungieren . 

10 In die sem Zusammenhang ist eine Funk t ion des Emit ten ten 

die Erstellung und Verteilung von Sperrenlisten fur solche 
Zahlungsmittel, die z.B. aufgrund von Diebstahl, Fehlfunk- 
tion oder sonstiger Sicherheitsverletzungen nicht mehr 
akzeptiert werden durfen. Die dazu notwandigen Informatio- 

15 nen konnen z.B. von den Acquirern erhoben werden, da diese 
dienstunabhangig Sicherheitsverletzungen im Zahlungsver- 
halten detektieren konnen (als Outsour cing-Auf gabe , die 
Verantwortung liegt jedoch bei den Emit ten ten) . Im Konzept 
ist vorgesehen, daB solche Sperrinf ormationen bis zu den 

20 RSE-Einrichtungen weitergeleitet und von dort optional und 
selektiv auch an OBUs ubertragen werden konnen. Fur vor- 
ausbezahlte Zahlungsmittel kann der Zahlungs system- 
Emit tent da ruber hinaus Schattensalden bezuglich der sich 
im Umlauf befindlichen Zahlungsmittel (z. B. elektronische 

25 Geldborsen) iiberwachen , urn eventuelle Angriffe auf die 
Sicherheit erkennen zu konnen. 

Collection Agent 

30 Diese Modellkomponente ist von Bedeutung , wenn z.B. vor- 
ausbezahlte Zahlungsmittel in einem AGE -System eingesetzt 
werden. Dabei kann es sich um eine vom entsprechenden 
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Emittenten lizenzierte VerJcaufsagentur fur Chipkarten Oder 
On-Board Units oder eine Lade ins tarn z fur elektronische 
Geldbdrsen (Ausgabeautomat fur elektronisches Geld) 
handeln . 

5 

AGE-Kon trolls telle (Enforcement) 

Die AGE-Kontrollstelle ist eine prinzipiell von der Gebuh- 
renerhebung getrennte Sys temkomponente . Sie hat die Auf- 
10 gabe, 

das Vorhandensein und die Authentizitat des 
jeweils letzten erf orderlichen Zahlungsnach- 
weises zu priifen, 
15 zu priifen, ob dabei die Tarifierung ordnungs- 

gemaB war , 

ggf . und nur im Falle einer nicht oder falsch 
erfolgten Zahlung Daten fur die Beweissicherung 
und die nachtragliche Gebuhrenzahlung zusammen- 
20 zustellen , und 

- eine mdglichst automatisierte Eintreibung nicht 
gezahlter Gebiihren und evtl . Zusatzgebuhren zu 
veranlassen . 

25 Die AGE-Kontrollstelle kann entweder stationar zur Prufung 
mobiler Verkehrsteilnehmer oder mobil zur Prufung mobiler 
oder stationarer Verkehrsteilnehmer sein und koramuniziert 
uber die Luf tschnitts telle mit On-Board Units . 

30 Technisch kann eine AGE-Kontrolle auch mit einem RSE 

gekoppelt sein, damit die Beweissicherung fur Nicht- oder 
Falschzahler mit anschliefiender Nachzahlung direkt veran- 
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laflt warden kann. Dies wird auch als integriertes Enforce- 
ment bezeichnet. Im Gegensatz dazu wird, wie oben erlau- 
tert, das abgesetzte Enforcement durch eine von der Gebuh- 
renerhebung technisch getrennte, zeitlich nachgeschaltete 
5 und meist nur stichprobenartige Kontrolle realisiert. 

Zulassungsinstanz ( Ins titutionalisierung) 

Unabdingbare Voraussetzung fur die Teilnahme aller System- 
10 komponenten in einem AGE- System ist, da£ sicherheitsrele- 
vante Architekturanf orderungen bei der Realisierung von 
Komponenten des AGE -Zahlungs systems vollstandig und 
korrekt in technische, organisatorische und rechtliche 
Mafinahmen umgesetzt und diese Mafinahmen beim Betrieb auch 
15 eingehalten warden. 

Sicherheitsrelevante Anf orderungen ergeben sich daraus , 
dafi die Manipulations- und Revisionssicherheit , die Ein- 
haltung der Datenschutzbestimmungen und der ordnungsgema&e 

20 FluB aller Zahlungs stroma zu gewahrleisten sind, da in den 
verschiedenen Komponenten des Gesaunt systems eine Vielzahl 
von kunden- , zahlungs- und dienstbezogenen Daten erieugt, 
vorgehalten , weitergeleitet , ausgewertet und gespeichert 
wird und damit auch einer Vielf alt von Bedrohungen ausge- 

25 setzt ist. 

Die Zulassungsinstanz mufi folgende Aufgaben erfullen: 

Fur alle Systemkomponenten und juristischen 
30 Personen mufi die Teilnahme am Ges am t system durch 

ein Zulassungsverf ahren reglementiert werden, 
das den Einsatz nicht-zugelassener Systeme 
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(Chipkarten, Anwendungen, Endgerate , Dienst- 
anbieter etc.) wirksam, d.h; auch mit techni- 
scher Zwangslauf igkeit in den automatis ier ten 
Ablaufen verhindert. Damit einher geht ein 
5 Abnahmeverfahren fur alle Systemkomponenten . 

- Xmzner da, wo Z ah lungs vorgange entstehen und 
entsprechende Datenfliisse erfolgen, xnufi die 
Zulassigkeit, die Authentizitat und ggf . die 
Vertraulichkeit gewahrleistet werden konnen. 

10 Insbesondere muss en MaBnahmen getroffen werden, 

die ein unau tori s ier tes Auf laden von Zahlungs- 
mitteln oder Abbuchen von Betragen und die Vor- 
tauschung oder Wiedereinspielung bereits er- 
folgter Zahlungen verhindern sowie die Sperrung 

15 von einzelnen Teilnehmern oder Teilnehmergruppen 

(Chipkarten, Anwendungen, Zahlungsmittel , Gera- 
te ) ermoglichen . 

Die Eindeutigkeit von Zahlungsvorgangen mufl 
sichergestellt werden, und alle Transaktionen 

20 und Forderungen mussen revisionssicher nach- 

vollziehbar sein. Dabei mussen die besonderen 
datenschutzrechtlichen Anf orderungen zur Erhe- 
bung, Speicherung, Verarbeitung und Ubermittlung 
von personenbezogenen oder -beziehbaren Da ten 

25 (enge Zweckbindung) beachtet werden. 

- Die technische Auspragung der Systeme und die 
organisatorischen und technischen Ablaufe mussen 
so gestaltet sein, dafl i.a. alle Zahlungen 
zwischen zugelassenen System teilnehmern gar an - 

30 tiert werden konnen. Dies muJl durch entspre- 

chende vertragliche Vereinbarungen (z.B. 
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zwischen Dienstanbieter , Acquirer und Emit tent) 
reglementiert werden . 

Zur Betriebszulassung mussen ahnlich den Reglements fur 
5 das Geldausgabeautomaten- oder electronic -cash- System der 
deutschen Kreditwirtschaf t Vertrage fur baliebige Tell* 
nehmer, die auf lokaler, nationaler oder europaischer 
Ebene einen Dienst anbieten , ausge&rbeitet werden. Darin 
mussen insbesondere zur Abnahme von Systemkomponenten 
10 obligatorisehe Priifungen bzw. Gutachten zur IT-Sicherheit 
von Chipkarten, Anvrendungen , On-Board Equipment, RSE , 
Netzkonzepten , Abrechnungsstellen etc. verlangt werden. 

Kriterien dxeser Priifungen mussen u.a. die Manipulations - 
15 freiheit von AGE- und zahlungsrelevanten Anwendungen an 
den unterschiedlichsten Einsatzstellen im Gesamt system 
sowie die Unabhangigkeit und Riickwirkungsf reiheit un- 
terschiedlicher Applikationen beim Einsatz multifunk- 
tionaler Chipkarten sein. Es muB gepruft werden, da£ in 
20 alien regular en und irregularen Anwendungssituationen die 
Interessen aller Systemteilnehmer bei jedem Verarbeitungs- 
schritt entweder zum jeweiligen tatsachlichen Zeitpunkt 
oder zumindest retrospektive gewahrt bleiben und die 
Zahlungsgarantie fur alle ordnungsgemafien Gebiihrenerhe- 
25 bungen gewahrleistet wird. 

Zwei den Zulassungsf unktionen nachgeordneten Auf gab en kon- 
nen im Bereich des Managements kryptographischer Schlussel 
gesehen werden: 

30 

Im Falle unabhangiger Zahlungsmittel emit ten ten 
und Dienstanbieter muB die Zu las sung eines 
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Zahlungs systems fur das AGE-System uber das 
Keymanagement etabliert werden, das zur Aktivie- 
rung der SAMs erforderlich ist. Hierfiir ist es 
sinnvoll, ein uber alio Emittenten und Dienstan- 
5 bieter harmonisiertes Si cherheits verfahren mit 

kompatibler Schlusselarchitektur anzustreben, 
was idealerweise im Rahmen der Zulassungspro- 
zeduren koordiniert warden kann . 
Bei Einsatz asynmetrischer Verschlusselungs- 

10 verfahren zur Partnerauthentiaierung und Er- 

zeugung digitaler Unterschrif ten ist eine 
Zertif izierungsinstanz notwendig, die jedem 
zugelassenen Partner einen Schlussel so zuord- 
net, dafi die RechtmaBigkeit der Zuordnung von 

15 jedem beliebigen anderen Systemteilnehmer fest- 

gestellt werden kann. 

Im Falle einer internationalen Ausdehnung bzw. Offnung des 
AGE-Systems mufl die Zulassungsinstanz und das Schlussel- 

20 management-System hierarchisch implementiert werden, um 

die jeweils nationalen Aufgaben und Zustandigkeiten in ein 
internationales Zulassungs verfahren und einheitliches 
Schlusselmanagement zu integrieren . Damit konnen auf 
Grundlage harmonisierter Sicherheitsanf orderungen und 

25 Zulassungskriterien AGE -Systemteilnehmer auf nationaler 
Ebene fiir den internationalen Einsatz zugelassen werden. 

Beztiglich des Bezahlungsvorganges bei der Dienstnahme uber 
die Luf tschnittstelle und der Vorbereitung dieses Vor- 
30 ganges im On-Board Equipment muB unterschieden werden, ob 
es sich um ein borsenartiges (Vorausbezahlung) oder ein 
kontobasiertes (Nachbezahlung) Zahlungsmittel handelt. 
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Ausgangspunkt fur die Festlegungen 1st in einer erfin- 
dungsgemafi besonders bevorzugten Aus runnings form dabei , 
da£ aufgrund der getrenntan Sicherheitsdomanen - ohne 
5 Rucksicht auf eine etwaige organisatorische Identif ikation 
von Sy s temkomponenten (z.B. Koinzidenz vom Emit tent und 
Dienstanbieter ) - in Normal fall nur der Zahlungsmittel- 
emittent die Schliissel zur Zertif izierung von Zahlvor- 
gangen besitzt und diese - auBer beim Einsatz von asymme- 
10 trischen Kryptoverf ahren - nur dem Acquirer zur Echtheits- 
prufung fur von D i ens tanbie tern eingereichte Forderungen 
zur Verfugung stellt. 

Borsenzahlung : 

15 

Beim Einsatz universeller Borsen konnen Daten komprimiert 
nur dann in den Zahlungsverkehr eingeleitet werden, vrenn 
nicht jede einzelne AGE-Gebuhr vom Zahlungsmittel zer t if i - 
ziert ist, sondern wenn vorab , d.h. vor der ersten Gebiih- 
20 renerhebung ein bestimmter Verf ugungsbetrag zertifiziert 
und der AGE-Anwendung in OBE zur Abzahlung der folgenden 
Einzelgebuhren zur Ver£iigung gestellt wird. 

Daher ist in Konzept in einer erf indungsgemafi besonders 
25 bevorzugten Ausfuhrungsf orm vorgesehen, da£ ixn Falle einer 
Zahlung mit einer universellen Borse, wie es die Borse der 
deutschen Kreditwirtschaf t darstellt, vor Fahrtbeginn ein 
Verfugungsbetrag von der Borse abgebucht und in zertifi- 
zierter Form an die AGE-Applikation in On-Board Equipment 
30 - unabhangig davon , ob sich diese auf derselben Chipkarte , 
in einer anderen Chipkarte oder in der On-Board Unit be- 
findet - ubergeben wird. Der Verfugungsbetrag kann entwe- 



WO 97/22953 



PCT/EP96/05158 



- 53 - 

cier vom Benutzer gewahlt oder durch oinen z.B. vom 
Emit ten ten bestixmnten Systemparameter festgelegt 9ein , 
oder er kann sich aus dem gesamten verfugbaren Betrag der 
Borse ergeben . 

5 

Dieser Verf ugungsbetrag , der die tatsachlichen AGE-Ge- 
bxihren in der Regel deutlich xibersteigt und in der OBE- 
AGE-Applikation sicher verwaltet warden mu£ , dient als 
Referenzwert zur Zusammenfxihrung der zugehorigen Einzelge- 

10 bxihren beim Dienstanbieter vor der Einleitung der AGE- 

Forderungen in den Zahlungsverkehr und darf daher von der 
Summe der Einzelgebxihren nicht uberschritten werden. Vom 
Verfxigungsbetrag werden in der OBE-AGE-Applikation die 
Einzelgebxihren solange diskontiert, bis der Betrag aufge- 

15 braucht und ein erneuter Abbuchungsvorgang erforderlich 
ist. Ein nach Fahrtende verbleibender Restbetrag kann 
entweder in der AGE-Applikation verbleiben oder als Teil- 
storno an die Borse zurxickgefuhrt werden. Daher ist es im 
Rahmen der AGE -Zu las sung des Zahlungsmittels "universe lie 

20 Geldbdrse" erforderlich, daB die gerate- und software- 
seitigen Sicherheitsablauf e eingehalten werden und die 
Exuittenten mit den Dienstanbietern eine Verpf lichtung 
eingehen, daB alle so gebildeten Summenf orderungen auch 
beglichen werden. 

25 

Wenn die Borse und die AGE-Applikation identische Sicher- 
heitsdomanen besitzen, was ixn Normalfall nur bei einer 
transportspezif ischen Borse moglich ist, kann auf eine 
Zertif izierung des Verf ugungsbetr ages dann verzichtet 
30 werden, wenn das Zahlungsmittel nur von dem emittierenden 
Dienstanbieter akzeptiert wird, da in diesem Fall der 
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Zahlungsverkehr vom Dienstanbieter selbst oder einem von 
ihia beauftragten Dienstleister durchgefuhrt wird. 

Im letztgenannten Fall oder im Falle GNSS-basierter 
5 Systeme oder allgemein, wenn es die Zeitanf orderung an den 
Zahlvorgang oder die technische Leistungsf ahigkeit von 
Chips und Ubertragungstechniken zulaBt, Jcann auch eine 
direkte Rommunilcation zwischen dem Zahlungsmittel und der 
Erhebungsvorrichtung stattfinden, so dafi auf eine Vorab- 
10 Bereitstellung eines Verfiigungsbetrages verzichtet werden 
Jcann. In dieses Fall wird bei jeder Gebuhrenentrichtung 
nur die tatsachlich fallige Gebuhr aus dem Zahlungsmittel 
abgebucht , so daB ein Riickladen evtl . unverbrauchter 
Betrage entfallt. 

15 

Kontozahlung : 

Im Falle einer Kontozahlung ist es lediglich erf orderlich , 
die Kontoinformation in zertif izierter Form der AGE- 

20 Applikation zu ubergeben. Diese Da ten konnen im fehler- 
freien Fall dann solange zur Verrechnung genutzt und in 
den Zahlungsverkehr eingereicht warden, bis der Benutzer 
eine andere Zahlungsmittelwahl vornimmt . Diese Zahlungs- 
variants entspricht einem Lastschrif tverf ahren , fur das 

25 der Dienstnehmer eine Abbuchungsgenehmigung fur sein Konto 
erteilt . 

Auch hier kann, wie oben fiir die Borsenzahlung beschrie- 
ben, sowohl auf eine Zertif izierung der Kontoinformation 
30 verzichtet als auch der Zahlvorgang in direkter Kommuni- 
kation zwischen dem Zahlungsmittel und der Erhebungsvor- 
richtung abgewickelt werden. 
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In beicien Zahlungsvarianten wird vor der Ubergabe des 
zertif izierten Verfugungsbet rages oder der zertif izierten 
Kontoinformation gepruft, ob das Zahlungssystem generell 
5 von der AGE-Applikation akzeptiert wird - was eine ent- 
sprechende vertragliche Vereinbarung zwischen den AGE- 
Dienstanbietem und dem Zahlungsmittelemittenten voraus- 
setzt - und ob insbesondere das konkrete Zahlungsmittel 
giiltig ist {Priifung von Verf alldatum und Sperrkennzei- 
10 chen) . Im Falle von getrennten Sicherheitsdomanen werden 
die A3czeptanz- und Giiltigkeitspriif ung sowie die Abbuchung 
oder Lastschrif tgenehiaigung durch ein entsprechendes Key- 
management abgesichert . 

15 In einer besonders bevorzugten Ausfuhrungsf orm der Erfin- 
dung ist die Bezahlvorrichtung als On-Board Equipment 
(OBE) fur ein Fahrzeug, besonders bevorzugt ein Automobil 
so ausgestaltet, daB sie eine On-Board Unit (OBU) umfaflt, 
welche mit einer Mikroprozessorkarte (ICC) des Nutzers 

20 bedient wird. Die ICC wird als vorbezahltes Zahlungsmittel 
in die OBU eingefuhrt; die OBU entninnnt dem Chip der ICC 
die Informationen, die das OBE zur automatischen Abwick- 
lung des Zahlungsvorganges mit der Erhebungsvorrichtung 
bendtigt. 

25 

Die Kommunikation zwischen einer ICC und einer OBU braucht 
im allgemeinen mehr Zeit, als die Kommunikation zwischen 
der OBU und der Erhebungsvorrichtung, typischerweise einer 
RSE-Einrichtung . Deshalb wird erf indungsgemaA besonders 
30 bevorzugt schon, bevor ein Zahlungsvorgang zwischen der 
Bezahlvorrichtung und der Erhebungsvorrichtung zustande- 
kozmat, und sogar noch r bevor zwischen beiden die Kommuni- 
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kationsschnittstelle entstandon ist, ein bestimmter Verfii 
gungsbetrag in Form von Daten aus der Borsen-Applikation 
der ICC in die OBU geladen. Ublicherweise wird dies jedes 
mal dann bewirkt, wenn der Nutzer (und Karteninhaber) 
5 seine ICC in die OBU einfiihrt. Weiterhin wird eine solche 
Aufladung ublicherweise dann vorgesehen werden, wenn der 
in der OBU noch verfugbare Betrag aufgrund bereits geta- 
tigter Zahlungen einen bestimmten Grenzwert unterschrei- 
tet, vorausgesetzt natiirlich, dafi die ICC in die OBU ein- 
10 gefuhrt ist und selbst noch einen genugenden Verfugungs- 
be tr ag auf wei s t . 



Bei der KommuniJcation zwischen ICC und OBU erfolgt auf 
jede Nachricht von der OBU zur ICC (Koxnmando) eine Nach- 
15 richt von der ICC an die OBU (Antwort) . Die f olgende 

Koxnmandoreihenf olge beschreibt den Kommunikationsvorgang 
nach Einfiihren einer ICC in die Lesevorrichtung einer OBU 

ATR Durch das Answer to Reset Komxxtando mit zugehdriger 
20 Antwort werden technische Inf ormationen hinsichtlich 

der ICC und der Verfugbarkeit von Applikationen zur 
Verfugung gestellt. 



SI*A Das Koznmando Select Application selektiert die Bor- 
25 sen-Applikation der ICC durch die OBU. Die Antwort 

enthalt die der Borsenapplikation entsprechenden 
Inf ormationen . 

RIDL Mittels des Kommandos Read ID/Limit kann die gegen- 
30 war tig in der Borsen-Applikation der ICC gespeichert 

Geldmenge ausgelesen werden, urn zu iiberpruf en f ob di 
ICC n ch uber einen geniigenden Verf ugungsbetrag ver- 
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fiigt. In einer bosonders bevorzugten Ausfiih rungs form 
der Erfindung kann die OBU oder der Nutzer entschei- 
den, welcher Betrag tatsachlich aus der ICC in die 
OBU geladen werden soil. In einer anderen bevorzugten 
5 Ausf uhrungsf orm , wenn die Abbuchung en t we der (bei der 

zweiten Alternative des erf indungsgemaBen Verfahrens) 
autonom (d.h. ohne exteme Kommunikation) oder in 
direkter Kommunikation mit der Erhebungsvorrichtung 
erfolgt, kann diese Information dazu verwendet wcr- 
10 den, grundsatzlich die Nutzbarkeit des Zahlungsmit- 

tels f es tzus tellen . 



GC Bevor aus der Borsen-Application ein bestimmter Be- 
trag entnommen werden kann, mussen, unabhangig von- 
15 einander, durch die ICC einerseits und die OBU oder 

die Erhebungsvorrichtung (RSE) andererseits , zwei 
Zufallszahlen bereitgestellt werden, die die gegen- 
seitige Berechtigung von ICC und OBU bzw. RSE zur 
Ubergabe des Geldbetrages belegen. Durch Kommando und 
Antwort Get Challenge wird die von der ICC erzeugte 
Zufallszahl an die Umgebung abgesandt. 



20 



UA Durch das Kommando Update Amount wird eine bestimmte 
Menge elektronischen Geldes von der ICC abgezogen. 

25 Dieses Kommando und seine Antwort sind durch einen 

geheimen Schlussel geschutzt, der die beiden Zufalls- 
zahlen benutzt, urn eine nicht-autorisierte oder 
wiederholte Entnahme zu verhindern. Zusatzlich kann 
der entnommene Betrag von der ICC mit ein em zweiten 

30 Schlussel zertifiziert werden, der dem Dienstanbieter 

nicht bekannt ist, wohl aber dem Acquirer. 
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In einer besonders bevorzugten Ausf iihrungsf orm konnen, 
nachdem ein zertif izierter Verf ugungsbetrag in der OBU 
bereitgestellt worden ist, ggf . mehrere Aus zahlungsvor- 
gange zwischen der OBU und einer oder mehreren Erhebungs- 
5 vorrichtungen abgewickelt warden , ohne daB die ICC dabei 
involviert ist. Wenn keine Transaktionen mehr bend tig t 
we r den und die ICC aus der Lesevorrichtung der OBU ent- 
noxnmen warden soil, muB ein eventuell noch vorhandener 
Verf ugungsbetrag wieder in die Bors en -Application der ICC 

10 zuruckgefuhrt werden. Dies xnufi auch geschehen, wenn ein 
we i teres UA- Kommando ubermittelt werden soil, urn einen 
neuen Verf ugungsbetrag bereitzustellen ; auch dann muB 
zunachst ein Restbetrag des friiheren Verf iigung she t rages 
wieder in die ICC geladen werden , bevor ein neuer Verf ii- 

15 gungsbetrag in die OBU uberfiihrt wird. 

PR Durch das Koxnmando Partial Reversal kann ein Rest- 
betrag von der OBU wieder in die ICC zuruckgefuhrt 
werden. Auch dieses Rommando ist gegen MiBbrauch 
20 durch einen Authentif ikationscode geschutzt, der 

mittels eines geheimen Schlussels und zweier Zu- 
fallszahlen erzeugt wird, welche unmittelbar vor 
dies em Koxnmando erst erzeugt werden. 

25 I in einzelnen werden fur die Koxnmando- und Antwortsequenzen 
bei der Koxnmunikation zwischen ICC und OBU folgende Nach- 
richten verwendet, wobei "Input" solche Daten bedeutet, 
die durch eine Kommandonachricht zur ICC ubertragen wer- 
den, wahrend "Output" solche Daten bedeutet, die mittels 

30 einer Antwortnachricht von der ICC abgesandt werden: 
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ATR Kein Input; 

Ou tpu t : car d_da ta 

SLA Input: Name der Borsen-Application; 
5 kein Output 

RIDL kein Input; 

Output: idjprevu, enthaltend ICC/PREVU_ID , 8 (oder 
znehr) Byte ganzzahlig; Betrag, 2 (oder mehr) Byte 
10 ganzzahlig 

GC kein Input ; 

Output: 4 oder 8 Byte hexadezimale Zufallszahl 

15 UA Input: das zugehorige Koxnmando umfaAt die Objekte 
type , ID , TA Counter , amount r random und macl . 

Type ist 1 Byte ganzzahlig ; 

20 ID ist 4 Byte ganzzahlig; 

TA Counter ist 2 Byte ganzzahlig und amount ist 2 
(oder mehr) Byte ganzzahlig. 

25 Random und macl sind 4 oder 8 Byte Hexadezimalzahlen . 

Output: die zugehorige Antwort umfaJBt die Objekte 
status , ICC / PREVU_ID , ICC_TA_counter , amount , 
mac2 und mac 3 . 



30 



Status ist eine 2 Byte Hexadezimalzahl ; 
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ICC/PREVU ID 1st 8 (oder mehr) Byte ganzzahlig. 

ICC TA counter und Amount sind 2 (oder mehr) Byte 
ganzzahllg; 

5 

mac2 und znac3 sind 4 oder 8 Byte Hexadezimal- 
zahlen . 

PR Input: das Kommando enthalt die Objekte ID, 
10 TA counter, amountl , macl, amount 2, random und mac2 . 



ID ist 4 Byte ganzzahlig. 



TA_counter, amountl und amount 2 sind 2 (oder mehr) 
15 Byte ganzzahlig; 

macl , random und mac 2 sind 4 oder 8 Byte Hexadezimal- 
zahlen . 



20 Die zugehdrige Antwort (Output) umfafit die Objekte 

status und mac3 . Status ist eine 2 Byte Hexadezi- 
malzahl, mac 3 eine 8 Byte Hexadezimalzahl . 

In einer anderen bevorzugten Ausf uhrungsf orm der Erf in- 
25 dung, wenn z.B. ein Dienstanbieter sein eigenes Zah- 

lungssystem ermittiert oder weniger harte Zeitanforde- 
rungen an den Zahlvorgang bestehen, ist es moglich, da£ 
eine bezuglich der cryptograph ischen Sicherung direkte 
Konmunikation zwischen dem Zahlungsmittel z.B. in Form 
30 einer Mikroprozessorkarte und der Erhebungsvorrichtung 

stattfindet. In dieser Ausfuh rungs form entfallt die Not- 
wendigkeit einer Datenspeicherung und -verschlusselung im 
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Transponder, da dieser im wosentlichen nur zur Kon- 
vertierung von Ubertragungspro toko lien eingesetzt wird. In 
diesem Falle sind die oben beschriebenen Kommandos UA und 
PR durch z.B. SD ( Secure Decrease: gesichertes Abbuchen 
5 einer AGE-Gebiihr vom Betragsspeicher der Borsenapplika- 
tion) und RF ( Register Fee: abschlieflende Bestatigung der 
positiven Zahlungsquittierung und Erzeugung eines Logging- 
Eintrages) zu ersetzen: 

10 SD Input: das Kommando umfafit die Objekte ID, tarif , 
amount, random, macl . 

ID ist 4 (oder mehr) Byte ganzzahlig; 
15 tarif ist 1 Byte ganzzahlig; 

amount ist 2 (oder mehr) Byte ganzzahlig ; 

random und macl sind 4 oder 8 Byte Hexadezimalzahlen . 

20 

Output: die zugehorige Antwort umfa&t die Objekte 
status und mac 2 . 

Status ist eine 2 Byte Hexadezimalzahl ; 

25 

mac2 ist eine 4 oder 8 Byte Hexadezimalzahl. 



RF Input: das Kommando umfaBt die Objekte 

Fahrzeugklasse, Quittungsnummer , amount, result, 
30 encMsg. 



Fahrzeugklasse ist 1 Byte ganzzahlig; 
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Quittungsnummer 1st eine 3 Byte Hexadezimalzahl ; 
amount 1st 2 (oder mehr) Byte ganzzahlig; 

5 

result 1st eine 2 Byte Hexadezimalzahl; 

encMsg ist eine 8 oder 16 Byte Hexadezimalzahl, die 
einen verschlusselten , 4 oder 8 Byte hexadezimalen 
10 mac3 enthalt. 

Output: die zugehdrige Antwort umfaBt die Objekte 
status und mac4 . 

15 Status ist eine 2 Byte Hexadezimalzahl; 

mac 4 ist eine 4 oder 8 Byte Hexadezimalzahl . 

Luftschnitts telle : 

20 

Fur die automatische Gebiihrenermittlung und -erhebung ist 
zu unterscheiden, ob es sich um ein offenes oder 
geschlossenes AGE -System handelt: 

25 - Im offenen System ist an jedem RSE eine Gebuhrenzah- 
lung moglich. 

Im geschlossenen System erhalt der Verkehrsteilnehmer 
zuerst ein Eintrittsticxet , das er beim Verlassen des 
Gebietes vorweisen muS und das die Grundlage fur die 
30 Gebiihrenberechnung bildet (z.B. im Parkhaus) . 
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Die Gebuhrenerhebung uber die Luftschnitts telle erfolgt im 
offenen System und bei der Ausfahrt aus dem geschlossenen 
System prinzipiell in den folgenden, prinzipiell schon 
oben beschriebenen fiinf Schritten, damit die Vorgange zur 
5 Gebuhrenermittlung , zur Zahlung und zur Quittungsubergabe 
grundsatzlich getrennt we r den konnen . Die Einfahrt in ein 
geschlossenes System erfolgt gemafi den eraten drei der 
folgenden funf Schritte . Fur die Protokollinhalte im De- 
tail ist seitens des Dienstanbieters dabei zwischen einer 

10 Erhebungsvorrichtung vom Typ " Z ah lungs -RSE M (offenes 

System und Ausfahrt aus geschlossenem System) , an dem eine 
sofortige Gebuhr en zahlung durchgefiihrt wird, und vom Typ 
"Eintritts-RSE" (Einfahrt in geschlossenes System) zu 
unterscheiden, das nur Eintrittstickets ausstellt. Seitens 

15 des Dienstnutzers erfolgt die Zahlung durch eine Kommuni- 
kationsschnittstelle, die vom Uber tragungs tail der Bezahl- 
vorrichtung (Bestandteil des On-Board Equipment, OBE) ge- 
bildet wird. 

20 T: Tender (entsprechend: Bekanntgabe des Dienst- 

le i s tungs angebo t s ) 

Bei Annaherung eines Fahrzeuges wird die Be- 
zahlvorrichtung vom Road-Side Equipment zuerst 

25 mit Inf ormationen zu den vom AGE-Dienstanbieter 

akzeptierten Z ah lungs sys temen (List of Accep- 
table Payments) und evtl . mit Angaben zur Funk- 
tionalitat, zum Level der Gebuhr enerhebungs- 
stelle und zum Dienstanbieter versorgt. Die List 

30 of Acceptable Payments enthalt fur jedes regio- 

nale oder uberregionale (d.h. nicht obligato- 
risch akzeptierte) Zahlungs system einen vorzugs- 
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weise nach ISO 7816-5 strukturierten Eintrag 
(Issuer Identification Number oder Registered 
Application Provider Identifier) , wenn dieses 
vom AGE-Dienstanbieter akzeptiert wird. 

5 

Zusatzlich kann es an einam Zahlungs-RSE not- 
wendig sein, da 5 we it ere Statusabf ragen boole- 
scher Art (List of Boolean Challenges) durch- 
gefuhrt werden, urn z.B. das Vorhandensein eines 

10 Eingangs tickets oder eines Sperrkennzeichens 

abzuf ragen. Im Falle eines Eintritts-RSE wird 
statt dessen eine Zufallszahl gesendet (RSE 
Random Challenge) , urn im folgenden sicherzu- 
stellen, dafi Eintritts tickets nur an authen- 

15 tische Bezahlvorrichtungen ausgeteilt werden. 

R: Registration (entsprechend; Erklarung des Kauf- 
und Zahlwillens) 

20 Durch den Empfang einer T-Nachricht von einem 

Zahlungs-RSE wird die Bezahlvorrichtung aufge- 
fordert, ihrerseits Angaben zur Fahrzeugklasse 
und zu Zahlungssonderkonditionen (z.B. Behin- 
dertentarif , GroBkundenabo , hoheitliches Fahr- 

25 zeug etc.; Vehicle and Driver Dependent Class 

Table) , zum Gultigkeitszustand (Expire Date, 
Minimum des Giiltigke it sondes der AGE-Applikation 
und des eingesetzten Zahlungsmittels) , zum Zah- 
lungswunsch (Issuer Identifier und Requested 

30 Currency) , zu den booleschen Statusabf ragen 

(List of Boolean Responses) und - im geschlos- 
senen System - zu einem evtl . vorhandenen ver- 
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schliisselten Eintritts ticket des entsprechenden 
Service-Levels an das RSE zu ubertragen . Durch 
die Verschlusselung des Eintritts tickets wird 
ein gezieltes Kopieren von Eintritts tickets 
5 durch Abhor en der Luftschnitts telle verhindert. 

Das Ticket enthalt Angaben zu Zeit und Ort des 
Eintritts und evtl . weitere, anonyme Plausibi- 
li tatsangaben ( z . B . Fahr zeugklasse , Ticketnum- 
mer) , damit die Rechtmafiigkeit seiner Verwendung 
20 gepriift warden kann. 

Weiterhin werden mit der R-Nachricht Daten zum 
Vers chliisselungsver fahr en (z .B . Gruppenschlus- 
selnuomer) ubergeben, die jedoch noch keine OBE- 
Identif ikation zulassen. Das gesamte Protokoll 
zur Gebuhrenzahlung ist erf indungsgemaB beson- 
ders bevorzugt, Haft zuerst eine RSE-Identif ika- 
tion erfolgen xnufl . Aufierdem wird zur RSE - Au then - 
tisierung eine Zufallszahl ubergeben (OBE Random 
Challenge) . Weiterhin wird in der R-Nachricht 
auch der Zeitpunkt der letzten Zahlung ubertra- 
gen, falls diese an der gleichen Zahls telle 
(Beacon ID) erfolgt ist. 

25 Im Falle eines Eintritts-RSE sendet die Bezahl- 

vorrichtung in der R-Nachricht Angaben zum Zah- 
lungswunsch , eine eigene Zufallszahl (OBE Random 
Challenge) , die zur anschlieBenden RSE-Au then ti- 
sierung verwendet wird, die Gruppenschlussel- 

30 nunmer sowie einen Authentikator zu diesen Anga- 

ben. 



15 



20 
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PD/TT: Price Definition (entsprechend: Festlegung des 
Preises) bzw. Ticket Transfer (entsprechen : Ausstel- 
lung des Eintritts tickets) 

5 Falls am aktuellen RSE eine Gebuhrenzahlung er- 

folgen soil, kann das RSE nach Auswertung der 
Giiltigkeit der AGE- bzw. Zahlungsmittelapplika- 
tion (Expire Date) aufgrund der von der Bezahl- 
vorrichtung empfangenen Angaben in Abhangigkeit 

10 der Fahrzeugklasse , der Zahlungssonderkonditio- 

nen, des Zahlungszeitpunktes und eines even- 
tuellen Eintritts tickets den aktuellen Gebuhren- 
betrag (Fee) ermitteln, wobei die Gebiihrenhohe 
unabhangig vom Zahlungsmittel sein mu£ , da der 

15 Benutzer im Prinzip die freie Auswahl aus der 

Liste der akzeptierten Zahlungsmittel hat. 

Altemativ dazu kann (beim geschlossenen System) 
statt der Gebuhrenermittlung ein Eintritts ticket 

20 ausgestellt warden , das aus den obengenannten 

Griinden von RSE so verschlusselt wird, da-B es 
nur von einem RSE desselben Dienstanbieters wie- 
der entschlusselt werden kann. Zusatzlich konnen 
mit der Ti eke tuber tragung auch bestimmte boole- 

25 sche Werte festgelegt werden, wie z.B. Setzen 

einer Markierung in einer Bezahl vorrichtung , daB 
der Eintritt in ein geschlossenes System erfolgt 
ist. Nicht-boolesche Eintrage f z.B. numerischer 
Art , durf en aus Datenschutzgriinden von einer 

30 Erhebungsvorrichtung nicht in einer Bezahlvor- 

richtung vorgenommen werden konnen, urn sy sterna- 
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tische Teilnehmermarkierungen und -verf olgungen 
auszuschlie&en . 

Die goforderte AGE-Gebuhr oder das verschliissel- 
5 to Eintrittsticket wird zusammen mit der RSE- 

Identif ikation, dem Datum und der Uhrzeit der 
Gebuhrenerhebung , einer Status inf onnation (Error 
Code) , dem angewandten Tar if und - im Falle 
einer anschlieBenden Gebiihrenzahlung - einer 
10 weiteren Zufallszahl zur OBE-Authentisierung 

(RSE Random Challenge) an die Bezahlvorrichtung 
gesendet . 

Damit die Erhebungs- und die Bezahlvorrichtung 
authentisiert werden kann, ist die PD- bxw. TT- 
Nachricht entweder - im Falle eines Zahlungs-RSE 
- m it einem Authentikator (Signature oder 
Message Authentication Code) versehen oder - im 
Falle eines Eintritts-RSE - teilweise verschliis- 
aelt, wobei in beiden Fallen ein "Sessionkey" 
verwendet wird, der von der Gruppenschlussel- 
numxaer und den Zuf allszahlen abhangt . 

P: Payment (entsprechend: Durchfuhrung der Z ah lung) 
25 

Nach Erhalt eines Tickettransf er (geschlossenes 
System) wird zuerst die Nachricht entschlusselt 
und der OBE Random Response gepruft, so daB das 
RSE und damit auch das verschlusselte 
30 Ein tritts ticket im positiven Fall als authenti- 

siert gelten. Im Falle eines Eintritts-RSE ist 
damit der Vorgang beendet. 



15 



20 
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Nach Erhalt eines Price Definition wird zuerst 
der Au then tika tor verifiziert und damit die 
Erhebungsvorrichtung durch die Bezahlvorrichtung 
5 authentisiert. Die Daten einer au then tisier ten 

PD-Nachxicht we r den als Beleg des Z ah lungs wil- 
lens (Preliminary Receipt) bis zur nachsten 
Zahlung gespeichert, damit der Bezahlversuch im 
Falle eines evtl. gescheiterten Bezahlvorgangs 
10 gegenuber einer AGE -Kon trolls telle nachgewiesen 

we r den kann . 



Zur Durchfuhrung des Bezahlvorgangs werden die 
AGE-Gebuhr (Fee) und die zahlungsrelevanten 

15 Daten (Issuer Identifier und Payment Object) an 

das RSE ubertragen, wobei diese Nachricht eben- 
falls mit einem Au then ti 3ca tor £ eld versehen ist. 
Die moglichen Inhalte des Payment Object hangen 
ausschliefilich von den bilateralen Vereinbarun- 

20 gen zwischen Emit tent und Dienstanbieter ab und 

werden weiter unten naher diskutiert. 



CR: Confirmation and Receipt (entsprechend : Bereit- 
stellung des Zahlungsbelegs) 

25 

Nach Empfang des Payment und der Authentikator- 
prufung im RSE kann - wenn im Payment Object die 
genaue Zahlungsmittelidentif ikation en thai ten 
ist - eine Sperrenpruf ung fur das eingesetzte 
30 Zahlungsmittel durchgefuhrt werden. Falls dabei 

ein Sperrvermerk erkannt wird, konnen einerseits 
der Bezahlvorrichtung in einer Status information 
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(Error Code) eine Aufforderung zur Sperrung des 
Zahlungsmittels mitgeteilt und andererseits die 
xm bisherigen Transaktionsverlauf ermittelten 
Irxf ormationen direkt ins Enforcement eingeleitet 
warden. Der Sperrvermerk kann in der OBE-AGE- 
Anwendung gesetzt bleiben, urn einen emeu ten 
Zahlungsversuch mit dem gesperrten Zahlungsmit- 
tel schon im Bezahlvorrichtung abzuwehren. Zu- 
satzlich kann das Zahlungsmittel z.B. im Chip- 
kartenfall zur Selbst sperrung veranlafit werden. 



Anderenf alls werden der Bezahlvorrichtung die 
erfolgte Zahlung quittiert und eine mit einem 
Authentikator versehene Enf orcement-Quittung 

15 sowie gegebenenf alls boolesche Werte (z.B. zum 

Rucksetzen einer Eintrittsticket-Markierung) an 
die Bezahlvorrichtung ubertragen. Diese Nach- 
richt ist zur Abwehr von Abhdrangrif f en mit dem 
obengenannten Sessionkey teilweise ver senilis - 

20 selt. Die Quittung enthalt alle fur eine AGE- 

Kontrolle (Enforcement) wichtigen Daten, wie 
RSE-ID, Datum und Uhrzeit, Quittungsnummer , An- 
gaben zur Fahrzeugklasse , AGE-Gebiihr etc. Der 
Authentikator der Enf or cement -Quit tung ist mit 

25 einem der Bezahlvorrichtung unbekannten 

Schlussel erzeugt . 

Nach Erhalt und Priifung der CR-Nachricht wird 
die Quittung im OBE-Transaktionsspeicher so ab- 
30 gelegt, dafi die jeweils letzte Quittung eines 

Service-Levels mit ihrem Authentikator auch als 



WO 97/22953 



PCT/EP96/05158 



- 70 - 

Zahlungsnachweis gegenuber einer AGE-Kontroll- 
s telle verwendet werden Jcann. 



10 



20 



Payment Object 

Das in der P-Nachricht enthaltene Payment Object besteht 
i.a. aus den folgenden vier Informations teilen , die jedoch 
nicht fur alle Zahlungs sy s temar ten gleichartig belegt sein 
kdnnen . 



TR Transaction Related Data, z.B. Verfugungs- oder 

Gebuhrenbetrag , Datum oder Sequenzzahler der 

D i ens t le is tung ; 
PAY Payment System Related Data, z.B. Kennung des 
15 Zahlungsverpf lichteten, Lastschrift- oder Ver- 

rechnungskonto ; 
ID Identity Related Data, z.B. Zahlungsmittel-ID ; 
SEC Security Related Data, z.B. Verschlus s e lungs - 

parameter und Authentikator . 



Mdgliche Inhalte des Payment Object sind im folgenden fur 
drei Zahlungsbeispiele angegeben. 



• Anonyme, transportspezif ische , vorbezahlte Wertkarte: 

25 



TR 


Gebuhr , 

evtl. Abbuchungszahler oder 
Restbetrag 


PAY 


evt . Verrechnungskonto 


ID 


Wertkarten (gruppen) nummer 


SEC 
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Annerkungen : 

Das Datenfeld TR kann neben der eigentlichen 
AGE-Gebiihr z.B. einen Abbuchungszahler oder den 
auf der Wertkarte vorhandenen Restbetrag ent- 
5 halten, damit Einzelvorgange unterscheidbar und 

evtl. Sicherheitsprufungen erleichtert warden. 
Es ist denkbar, daB Wertkarten in Abhangigkeit 
vom Ausgabe- und/oder Verf alldatum uber unter- 
schiedliche Konten verrechnet warden. Dies kann 

10 entweder explicit iiber eine Kontoangabe im Da- 

tenfeld PAY, die im Rahmen der Abbuchung aus der 
Wertkarte ausgelesen wird, oder implizit iiber 
die Wertkarten (gruppen) nummer erf olgen . 
Zusatzliche Sicherheitsparameter sind im Falle 

15 eines anonymen, transportspezif ischen Zahlungs- 

mittels nicht erf orderlich f so dafi fiir diesen 
Zweck auch keine Einzelkartenidentif ikation 
notwendig ist. 

20 • Universelle Geldborse von Finanzinstituten: 



TR 


Verf iigungsbetrag , 
Sequenzzahler , 
Terminal-ID 


PAY 


Borsenverrechnungskonto 


ID 


Borsennummer 


SEC 


Message Authentication Code 
(MAC) 



25 



Anmerkungen : 

- Da die Kommun ikation mit der Geldborsen-Chip- 
karte aufgrund der ausgefeilten Sicherheits- 
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prozeduren sehr zeitintensiv 1st, kann die 
universelle Geldborse als Zahlungsmittel in 
einem AGE-Umfeld evtl . nur durch eine Vorab- 
Abbuchung eines Verf iigungsbet rages eingesetzt 
5 warden. Zur Bedeutung des Verf tigungsbetrages im 

Datenfeld TR sei auf die vorstehenden AnmerJcun- 
gen zur Zahlungsart "Borsenzahlung" verwiesen . 
Die sonstigen im Datenfeld TR vorgesehenen Daten 
werden von der universellen Geldborse in die 
10 MAC -Bil dung , die den Abbuchungsvorgang von der 

Geldborse kryptographisch ab si chert, einbezogen 
und mussen daher an diejenige S telle im 
Zahlungsverkehr (d.h. den zustandigen Acquirer) , 
die den MAC verifiziert, weitergeleitet werden. 

15 

• Lastschrif tverfahren : 



TR 


Sequenzzahler und/oder Datum, 
Uhrzeit 


PAY 


Bankleitzahl und Kontonummer 


ID 


evtl . Chipkartennuzomer 


SEC 


Message Authentication Code 
oder elektronische 
Unterschrift 



20 Anmerkungen : 

Die Zahlung erfolgt im nachhinein durch Abbu- 
chung von einem Debit- oder Kreditkonto , das im 
Datenfeld PAY angegeben ist. Uber das TR-Daten- 
feld kann dabei gesteuert werden, ob entweder 

25 jede einzelne AGE-Gebuhrenabbuchung vom Benutzer 

genehmigt wird, oder ob die Abbuchungsgeneh- 
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mi gun g in bestimmten Zeitabstanden (z.B. einma- 
lig boi Fahrtbeginn oder taglich) orteilt wird. 
Die Ertoilung der Abbuchungsgenehmigung muB 
falschungssicher und nachprufbar sein und ver- 
5 langt daher die Erzeugung eines Message Authen- 

tication Code oder einer elektronischen Unter- 
schrift, wobei die entsprechenden Schlussel ent- 
weder uber die Kontoidentif ikation oder die 
Chipkarte als Zahlungsmitteltrager zugeordnet 
10 we r den. 

In einer weiteren erf indungsgemafien Ausfuhrungsf orm kann 
die Gebuhrenermittlung insbesondere gemaB der zweiten 
Alternative (Anspruch 2) der Erfindung ohne (d.h. autonom) 

15 oder mittels Kommun ikation der nutzerseitigen Bezahlvor- 
richtung und einem sonstigen Sender /Empf anger z.B. uber 
Zellularfunk (z.B. GSM - Global System for Mobile Tele- 
communications) erfolgen, wobei der Sender /Empf anger als 
sog. virtuelle Zahls telle dabei einem oder mehreren orts- 

20 festen Gebuhrenerhebungspunkten zugeordnet ist. In beiden 
Varianten erfolgt die Auslosung einer Gebuhrenzahlung uber 
ein GNSS (Global Navigation Satellite System, z.B. GPS - 
Global Positioning System) . Der Gesamtvorgang kann dabei 
ebenfalls in ftinf , den oben beschriebenen Schritten analo- 

25 gen Schritten erfolgen. 

In einem solchen System liefert ein GPS -Empf anger standig 
Daten zur ge o graph ischen Position des Fahrzeugs an die 
Bezahlvorrichtung. Diese werden mit einer digitalen Karte, 
30 in der virtuelle Zahlstellen verzeichnet sind, verglichen. 
Diese Karten-Daten sind in der Bezahlvorrichtung gespei- 
chert. Wird dabei eine Ubereinstimmung f estgestellt , d.h. 
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befindet sich das Fahrzeug z.B. auf einer gebiihrenpf lich- 
tigen Stra6e , wird die uber eine Tariftabelle oder einen 
Tar if algor ithmus erxnittelte Strafienbenutzungsgebuhr in der 
Bezahlvorrichtung regis trier t. Je nach eingesetztea Zah- 
5 lungs system und technischer Ausstattung der Fahrzeugaus- 
riistung kann diese Gebuhr z.B. unmittelbar in der Chip- 
karte ohne weitere externe Kommunikation (autonomes 
System) abgebucht werden. Alternativ wird nach einer be- 
stimmten Anzahl von solchen Zahlvorgangen oder wenn eine 

10 bestimmte geographische Position erreicht ist oder wenn 
eine „Erf assungs-Bake" durchfahren wird, eine Kommunika- 
tion uber GSM oder DSRC zur Ubertragung der zwischenzeit- 
lich ges amine 1 ten Abbuchungsdaten durchgefuhrt . Fur GSM- 
taugliche Systeme kann die Akutalisierung von Tariftabel- 

15 len sowie die Wiederauf ladung eines vorbezahlten Zahlungs- 
znittels uber Mobilfunk erfolgen. 

Sowohl im Falle der nikrowellenbasierten Gebuhrenerhebung 
als auch ixn Falle einer Gebuhrenerhebung uber sonstige 

20 Ubertragungstechniken konnen die fiinf Schritte der Ge- 
buhrenerhebung durch eine kommandoartige Kommunikation 
(Master-Slave anstatt Peer-to-Peer) zwischen der Erhe- 
bungs- und Bezahlvorrichtung realisiert werden. Im jewei- 
ligen Schritt sendet dabei die Erhebungsvorrichtung ein 

25 oder mehrere Kommandos an die Bezahlvorrichtung, die diese 
verarbeitet und mit den fur die Ubertragung der fur den 
nachsten Schritt geforderten Daten bean two r te t . Damit 
konnen zusatzliche oder Sonderanf orderungen leicht im 
Ge s am t system berucksichtigt werden. 
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Aufboreitung der zahlungsrelevanten Daten 

Die in der Erhebungsvorrichtung gesammelten Transaktions- 
daten we r den periodisch zur Weiterleitung an den Konien- 
5 trator des Dienstanbieters aufbereitet. Dies geschieht in 
Form einer kryptographisch ges chut z ten Transaktionsdatei 
mit Versionsnuamer, Zeitstempel und RSE-Identif ikation, 
damit ijn Konzentrator die Authentizitat und Einmaligkeit 
der Einreichung gepriift werden kann . 

10 

Als tjbertragungsverfahren gibt es prinzipiell zwei Mog- 
lichkeiten: 

Online-Ubertragung nach einem Kommunikations- 
protokoll, z.B. auf Grundlage der "Schnitt- 
15 stellenspezifikation fur das Clearing zwischen 

Systembeteiligten" fur AGE-Systeme (Standard- 
en twurf des CEN/TC 278) , oder 

Datentrageraustausch z.B. durch Einsatz einer 
Diskette oder Speicher-Chipkarte fiir solche 
20 Erhebungs vorrichtungen , die nicht in ein Kom- 

munikationsnetz eingebunden sind. 

Im Konzentrator werden die entgegengenommenen oder abge- 
rufenen Transaktionsdateien daraufhin gepriift, da£ sie 
25 wahrend der tibertragung nicht manipuliert wurden, da£ sie 
vom richtigen Absender (RSE) erzeugt wurden und dafi sie - 
aufier im Fehlerfall - nicht schon einmal eingereicht wur- 
den . 

30 Fiir universelle, d.h. nicht- transport-spezif ische Zah- 
lungsmittel erfolgt in einer besonders bevorzugten Aus- 
fiihrungsf orm der Erfindung im Abrechnungszeitraum (z.B. 
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arbeitstaglich) eine Sortierung allor Einzeltransaktionen 
beziiglich der Zahlungsmittelidentitaten, so da£ alle Ge- 
buhrenzahlungen, die ontweder im Falle eines vorausbe- 
zahlten Zahlungsmittels beziiglich des gleichen zertifi- 
5 zierten Verfiigungsbetrages oder im Falle eines nachbezahl- 
ten Zahlungsmittels beziiglich der gleichen zertif izierten 
Kontoidentif ikation getatigt wurden, summiert und als Ge- 
samtforderung weiterbearbeitet warden konnen, 

10 Die zahlungsrelevanten Daten, die dann an den entspre- 

chenden Acquirer weitergereicht werden, en thai ten - au&er 
wenn der Kunde dieses zur Erstellung eines Einielgebuhren- 
nachweises ausdrucklich wiinscht - Jceinerlei Daten uber An- 
zahl, Hohe und Falligkeitsort der stunmierten Einzelgebuh- 

15 ren. Diese Daten werden zur Ubermittlung an einen Acquirer 
in Form einer kryptographisch geschiitzten Forde rungs da tei 
mit Versionsnuxmner , Zeitstempel und Identif ikation des 
Einreichers (Dienstanbieter) aufbereitet, damit der 
Acquirer die Authentizitat und Einmaligkeit der Einrei- 

20 chung priifen kann. 

Fur anonyme , transport- oder dienstanbieter-spezif ische 
Zahlungsmittel kann im RSE bereits eine Vorsortierung und 
Aggregation so erfolgen, dafl lediglich Gebuhrensummen an 
25 den Host des Dienstanbieters weiterzuleiten sind. 

Die Datenstruktur fur die Schnittstelle zwischen der RSE 
und dem Datenempf anger , ublicherweise einem Zentralcom- 
puter des Dienstanbieters wird erf indungsgemafi so gewahlt, 
30 da£ sie auch fur die Weiterverarbeitung beim Acquirer und 
beim Emittenten eingesetzt werden kann. 
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Die Struktur ist fur Protokolldateneinheiten (Protocol 
data units, PDU) im folgenden Diagramm wiedergegeben , wo- 
bei grundsatzlich auch andere PDUs , wie beispielsweise 
gemafi ISO 8583, ED X FACT , integriert werden konnen: 



Message^ Header 



Protocol Data Unit 



Message_Class 


Message_Type 


SenderJD 


ReceiverJD 


Messaga_lD 


Message_Body 



Data_ObjecM 


Data_Object_2 




Data_Object_n 



10 



Diagramm 5 
Beschreibung der Datenelemente : 
Message_Header : 



15 



Das Message_Header Datenelement 
umfaflt einen Vers ions identif ikator . 
Dieser Identif ikator ist eine ganze 
Zahl, die die geltende Version des 
Protokolls identif iziert. 



Message_Class : 



20 



25 



Alle Datennachrichten sollten zu einer 
von sechs verschiedenen Nachrichten- 
klassen (message classes) gehoren . Die 
jeweils angemessene Massage^Class fur 
die Transaction_ Files und fur 
Fee_Claiin Files sind Advice und Advice 
Response . 
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Message_Type : Signalisiert die Wahl einer be s timmten 

Art von Nachricht. Im erf indungsge- 
maBen System handelt es sich bei 
Message_Type um den Nachrichtentyp 
5 Transaction. 



Sender ID, Receiver ID: 



10 



Innerhalb des Systems mixB die 
I den ti tat von Sender und Empf an- 
ger eindeutig festliegen. Erfin- 
dungsgemaJS handelt es sich urn 
eine 4 -Byte Hummer . 



Message_ID : Der Nachrichtenidentif ikator 

Me3sage_Identif ier identif iziert 

15 zusammen mit Sender_ID und 

Receiver ID eine bestimmte vor- 
liegende Nachricht und wird 
selbst, vom Ab sender der Nach- 
richt, als eine 4 -Byte Zahl 

20 determiniert . Die Antwort des 

Nachrichtenempf angers muB die 
gleiche Message_Identif ier Angabe 
en thai ten. 

25 Message_JBody : Message_Body ist eine Sequenz von 

Data_Objects verschiedener Typen wie 
we iter unten def iniert . Die Data_Ob- 
jects en thai ten die geltenden " Auto- 
matic Fee Collection" (AFC) und mit 

30 dem Bezahlungsvorgang in Bezug ste- 

henden Transaktionsdaten . Generell 
bezieht sich ein Data__Object auf einen 
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Zahlungsvorgang, der von der OBU 
erhalten wurde. 

Die Message_Header , Message_Class und Message_Type Daten- 
5 elemente sind alle 1-Byte Zahlen . 

Die Ubertragung von Zahlungsob jekten vom RSE zum Zentral- 
computer des Dienstanbieters erfolgt mittels sogenannter 
Transaction^Files . Ein Trans act ion_File umfaBt einen 

10 Header Record und die tatsachlichen positiven oder nega- 
tiven Transaction_Records , und def iniert daher verschie- 
dene Typen von Data Objects. Das Transaction_File wird als 
eine Nachricht der Klasse Advice ubertragen, die in ihrem 
Message_Body ein einziges Data_Object vom Typ 1 enthalt, 

15 dem eine Reihe von Data_Ob jects der Typen 2 , 3 oder 4 
folgt. 

Ein zusatzlicher Objecttyp ist fur die Nachrichtenart Ad- 
vice Response reserviert, mit dem der Empfang eines Trans - 
20 action_File quittiert wird. 

Es wird davon ausgegangen , daB ein Abrufen der Ubermitt- 
lung eines Transaction File durch den Zen tral computer auf 
einer niedrigen Protokollebene , beispielsweise innerhalb 
25 eines File_Transf er_Protokolls , erfolgt, so dafl fur diesen 
Zweck keine speziellen Nachrichten vorgesehen sind. Die 
Ubertragung von Transaction_Files in diesem Sinne wird 
stets von einen RSE-Computer eingeleitet. 

30 Das Data Object vom Typ 1 umfaBt die Header Information 
fur das Transaction_File , die von dem RSE Computer, ins- 
besondere zum Zen tral computer abgesandt wird. 
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Die Struktur des Data_Objects vom Typ 1 ist im Diagramm 6 
gezeigt . 



Data_Object_type_1 



TA_Number Fee_Sum 



MAC 



Diagramm 6 

Dieser Object_Typ besteht aus den folgenden Datenelemen- 
10 ten: 



15 



TA_Number: Dieses Datenelement enthalt die Anzahl der 

Transaction^Records in dem Transaction_File 
und bestimmt daher die Anzahl von Data__Ob- 
jects der Typen 2 , 3 und 4 in der Kach- 
richt . 



Fee Sum : 



20 



Das Fee__Sum Datenelement enthalt die Summe 
aller Gebuhren, die im entsprechenden Da- 
tenelement Data_Objects (Typ 2 oder 3) des 
Transaction Records en thai ten sind. 



MAC: 



25 



Dieses Datenelement enthalt eine Message 
Authentication Code. 



Die Datenelemente TA_Number und Fee Sum sind beides 4 -Byte 
Zahlen. MAC ist eine 8 -Byte Hexadezimal-Zahl. 
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Das Data_Ob ject vom Typ 2 enthalt einen positiven Pre- 
payment Transaction^Record des Trans ac tion_File , das vom 
RSE Computer zum Z en tral computer gesandt werden soil . 
Positiv bedeutet, da£ die Transaction zwischen dem RSE und 
5 OBU ordnungsgemaB abgeschlosaen worden 1st, d. h. die Zah- 
lung ist erfolgt. Die Struktur des Data_Object vom Typ 2 
ist un Diagraram 7 gezeigt. 



C3ata_CbJect_Vpe_2 



TAJD 


tssuarJD 


feyrrertttject 


Fee 


MAC 



10 



ICOPREVUJD 


HX_TA_CartBr 


Amort 


MAC 






Diagranm 


7 



Dieser Data_Ob ject -Typ besteht aus folgenden Datenelemen- 
15 ten: 



TA ID: 



20 



Dieses Datenelement dient zur Durchnumerie- 
rung der Trans action_Re cords des Trans- 
action_File. Das TA_ID Datenelement ist 
eine 4 -Byte Zahl . 



25 



Issuer-ID: Diese 4 -Byte Zahl identif iziert den 

Emit ten ten des Zahlungsmittels , das zur 
Gebiihrenzahlung verwendet und mit der Pay- 
men t-Nachricht iibertragen wurde . 
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Dieses Datenelement (Payment^ Ob ject) ent- 
halt zahlungsverkehrsrelevante Einzeldaten 
zu dem vorbe zahl ten Z ah lungs system. Es 1st 
z.B. eine 20-Byte Information, die die vor- 
ausgegangene Ladung eines Verf iigungsbetra- 
ges von der Smartcard in die OBU anzeigt. 
Es en thai t vorzugsweise folgende vier Ele- 
mente : 

ICC/PREVU ID: Identif ikation der Borsen- 
Applikation in der Smartcard, von welcher 
der Verfiigungsbetrag in die OBU geladen 
wurde (4 -Byte Zahl) . 

ICC_TA_Counter : Transactions zahler , von 
der Smartcard bestimmt (2 -Byte Zahl) . 

Amount: Der von der Smartcard in die OBU 
geladene Verfiigungsbetrag (2 -Byte Zahl) . 

MAC : Von der Smartcard erzeugter Message 
Authentication Code, der die Authentizitat 
des geladenen Betrages zertifiziert (8 -Byte 
Hexadezimal-Zahl) . 

Dieses Datenelement en thai t die Gebuhr , die 
fur ein Fahrzeug verlangt wurde , welches 
die Bezahls telle passiert hat, und die vom 
Verfiigungsbetrag in der OBU abgezogen wor- 
den ist. Das Fee Datenelement ist eine 2- 
Byte Zahl. 
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MAC : Dieses 8 -Byte lange Datenelement enthalt 

einen Message Authentication Code. 

Das Data^Object vom Typ 3 enthalt einen positiven Post- 
5 Payment Transaction Record der Transaction File , die vom 
RSE Computer zum Zen tral computer abgesandt warden soil. 
Positiv bedeutet, da£ die Transaktion zwischen dem RSE und 
dem OBU wie vorgesehen abgeschlossen werden Jconnte, d. h. 
die Zahlung ist erfolgt. 

10 

Diagramm 8 zeigt die Struktur des Data Object vom Typ 3. 



DBto_Cbject_type_3 



TAJD 


IssubtJD 


PsyrmtCbfect 


Fee 


MAC 














OBLVAcaxrtJD 


PP_Sei_CoirtBr 


MAC 





15 



Diagramm 8 



Dieser Data_Object Typ besteht aus den folgenden Datenele- 
menten : 



20 



TA ID: 



Dieses Datenelement hat die gleiche Bedeu- 
tung wie bei Diagramm 7 . 



25 



Issuer ID: 



Dieses Datenelement hat die gleiche Bedeu- 
tung wie bei Diagramm 7 . 
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PO: Das Payment_Object enthalt Da ton zu dam 

nachbezahlten Zahlungs system. Das PO Daten- 
element 1st beispielsweise eine 18 -Byte 
Information, die z. B. den in der OBU ge- 
5 speicherten Post-Payment Account betrifft. 

Es umfafit vorzugsweise drei Elemente. 
OBU/Account ID: Identification des Post- 
Payment Accounts (8 -Byte Zahl) . 

10 PP_Sel_Counter : Dieser Zahler wird erhoht, 

warm immer sich der Fahrzeugf uhrer zu einer 
Nachbezahlung entschlieBt, indem er eine 
entsprechende OBU Auswahl funk t ion ausfiihrt. 
Dieser Wert ist daher ublicherweise fur 

15 alle OBU/RSE Transaktionen wahrend einer 

Fahrt konstant. 



MAC : Der von der OBU generierte Message 
Authentication Code, der die Authentizitat 
20 der Kontenidentif ikation bestatigt. 

Fee: Dieses Datenelement en thai t die Gebiihr, die 

von einem Fahrzeug bei Passieren der Be- 
zahlstelle verlangt worden ist. Das Fee 
25 Datenelement ist eine 2 -Byte Zahl. 



MAC: Dieses 8 -Byte lange Datenelement en thai t 

einen Message Authentication Code. 



30 Das Data_Object vom Typ 4 enthalt Inf ormationen uber nega- 
tive Transaktionen . Eine Transaktion wird negativ genannt, 
wenn von einem Fahrzeug, das die Bezahlstelle passiert 
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hat, keine Zahlung erfolgt 1st. In dies em Fall konnte ein 
Enforcement ausgeldst wo r den sein. Dieses Data Object hat 
die in Diagramm 9 angegebene Struktur. 



Data_ObJectjype_4 



TAJD 


Error JD 


ErrorData 


MAC 



Diagramm 9 

10 Dieser Typ eines Data_Object besteht aus den folgenden 
Datenelementen : 



15 



TA ID: 



Dieses Datenelement hat die gleiche Bedeu- 
tung wie bei den vorausgegangenen Diagram- 
men . 



20 



Error_ID: Das Error^ID Element enthalt spezifische 

Inf ormationen beziiglich des Error- Typ s , der 
aufgetreten ist, und daher beziiglich des 
G run des fur ein eventuelles Enforcement. Es 
ist eine 2 -Byte Zahl . 



25 



Error_Data: Dieses Datenelement variabler Lange enthalt 
spezifische Inf ormationen beziiglich des 
tatsachlich auf getretenen Errors . 



MAC : 



Dieses 8 -Byte lange Datenelement enthalt 
einen Message Authentication Code . 
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Das Data_Object vom Typ 5 en thai t Inf ormationen , die boi 
Nachrichten von der Advice Response -Klasse vom Zentralcom- 
puter zuriick zum RSE ubermittelt warden. Es zeigt en t we der 
5 die erfolgreiche Ubertragung und Prufung der iibertragenen 
Datei an, oder gibt spezielle Inf ormationen im Falle eines 
Errors. Eine Nachricht der Advance Response-Klasse kann 
eines oder mehrere Data_Objects dieses Typs en thai ten. Die 
Struktur eines Data_Objects vom Typ 5 ist im Diagramm 10 
10 gezeigt. 



Data_ObJect_type_5 



Response_Code Reference 



MAC 



15 



Diagramm 10 



Dieser Data_Object Typ besteht aus den folgenden Daten- 
e 1 erne n ten : 

20 

Response_Code : Dieses Datenelement enthalt eine 2- 

Byte Zahl, die die Richtigkeit oder 
Unrichtigkeit der Ubertragung angibt. 
Im Falle eines Errors def iniert der 
25 Response_Code die Art des Errors . 



Reference : 



Dieses Datenelement ist eine 4 -Byte 
Zahl und kann sich entvader auf ein 
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Datenelement des PDU, oder auf ein 
Data Object, oder ein Data_Object 
Element im Message_Body beziehen, in 
welchem ein Error aufgefunden worden 
5 ist. 

MAC : Dieses 8 -Byte lange Da tene lament 

enthalt einen Message Authentication 
Code . 

10 

Eine Nachricht der Advice-Klasse vom oben definierten Typ 
enthalt genau eine Trans action__Fi le . Verschiedene Trans- 
action Files muss en mittels verschiedener Nachrichten 
ubertragen warden. Wenn eine Begrenzung hinsichtlich der 
15 Lange einer Nachricht besteht, muB ein Transaction_File 
geschlossen werden, sobald eine bestimmte Anzahl von 
Transaction^Records angef alien ist. 

In der beispielhaf ten Ausfuhrungsf oxm ist fur die Absi- 
20 cherung der Ubertragung eines Tr ansae tion_File , fur die 
Authentisierung der Data_Objects und fiir die Authentisie- 
rung der Payment_Objects die Verwendung von Message 
Authentication Codes (MAC) vorgesehen, die mittels eines 
symmetrischen Verschlusselungsalgorithmus wie z.B. des DEA 
25 (Data Encryption Algorithm) oder des IDEA (International 
Data Encryption Algorithm) erzeugt werden. Ein symmetri- 
scher Verschlusselungsalgorithmus zeichnet sich dadurch 
aus , daiS sowohl der Sender als auch der Empf anger vertrau- 
lich und/ oder integritatsgesichert zu ubertragender Nach- 
30 richten uber das gleiche kryptographische Geheixonis 
(Schlussel) verfugen muss en. 
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In be s ti mm ten Fallen Icann es jedoch erforderlich sein, 
stattdessen asynmetrische Vers chilis se lungs algorithmen zu 
verwenden, wenn z.B. digitale Signaturen zum Einsatz 
kommen sollen, oder wenn das Keymanagement dadurch ver- 
5 einf acht warden kann . Beim Einsatz asymmetrischer Ver- 
schliis sellings algorithmen verfiigen beide Kommunikations - 
partner uber unterschiedliche , jedoch in einexn strengen 
mathematischen Zusammenhang zueinander stehende Schliis- 
sel teile, von denen nur der geheim bleiben muli (der 
10 Signaturerzeugungsschlusssel) und der andere offentlich 

sein kann (der Signaturpriif senilis sel) . In dies em Fall muB 
jedoch der dffantliche Schliissel eines Teilnehmers von 
einer unabhangigen Ins tan z signiert (zertif iziert) warden, 
wie bereits oben beziiglich der Zertif izierungsinstanz 
15 ausgefuhrt wurde. Solche Schlusselzertif ikate konnen dann 
beispielsweise in ein offentliches Verzeichnis (z.B. X.500 
Directory) eingestellt werden. 

Trotz der Beschreibung des Einsatzes der MAC-Technik sind 
die Ausfiihrungen insbesondere zu den Datenstrukturen bei- 
spielhaft so zu verstehen, daB das jeweilige MAC-Feld als 
Platzhalter fungiert fur beliebige Sicherheitsstrukturen 
inkl. sicherheitsbezogener Zusatzinf ormationen wie Algo- 
rithmenidentif ikator , Schliisseltyp und -nunmer, Anwen- 
dungsmodus fiir Verschliisselungsalgorithmus u.v.m. Diese 
Bexnerkung trifft auch auf alle Datenstrukturen zu, die 
noch waiter unten beschrieben werden. 

Konzentrator <-> Acquirer <r+ Emittent 
30 

Die in Form einer Forde rungs da tei (Fee Claim File) auf- 
bereiteten zahlungsrelevanten Da ten werden von den ent- 
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sprechenden Acquirern online nach dem gleichen Kommuni- 
kationsprotokoll entgegengenommen , das auch fur die 
online-Ubertragung zwischen RSE und Konzentrator eines 
Dienstanbieters vorgesehen ist. Da sich unterschiedliche 
5 Sicherheitsdomanen an dieser Schnitts telle begegnen, ist 
die Ubertragung dieser Daten durch eigene Schlussel ab- 
gesichert, die speziell und nur fur diesen Zweck zwischen 
Dienstanbieter und Acquirer festzulegen sind. 

10 Erfolgen die ublichen Prufungen zur Authentizitat und Ein- 
maligkeit bzw. Neuheit der eingereichten Forde rungs da ten 
mit positivem Ergebnis, tritt auf Grundlage der vertrag- 
lichen Vereinbarungen zwischen Dienstanbieter und Acquirer 
die Zahlungsgarantie in Kraft. Die Priifungen beziehen auch 

15 die Authentisierung der eingesetzten Zahlungsmittel ein, 
indem die fiir einen Zahlungsvorgang zertif izierten Verfii- 
gungsbetrage bzw. Kontoinf ormationen verifiziert werden. 
Durch die Trennung der Sicherheitsdomanen zwischen Zah- 
lungsmittel und AGE -Application konnen die Zertif ikate 

20 beim Zahlungsvorgang nicht sofort von der OBU-bzw. RSE- 

AGE -Application verifiziert werden, sondern erst nach der 
Einreichung einer Forde rungs da tei beim Acquirer, der in 
seiner Dienstleisterfunktion gegenuber dem Emittenten uber 
die entsprechenden Schlussel verfugt. 

25 

Hinsichtlich ihrer Struktur sind die Nachrichten und Daten 
an der Schnitts telle zwischen dem Dienstanbieter und der 
Verrechnungsstelle ahnlich zu denjenigen, die vorstehend 
schon fiir die Schnitts telle zwischen der RSE und dem 
30 Dienstanbieter bzw. dem CC beschrieben wurden , 
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Beispielswoise taglich schickt der Dienstanbieter eine 
Nachricht der Klasse Advice, die ein sog. Fee Claim File 
en thai t , &n den Acquirer. Dieses File besteht aus einem 
Header^Record, der durch ein Data Object vom Typ 6 be- 
5 stimmt ist, und den tatsachlichen Fee Claims, d.i. ein* 

zelnen Gebuhrenvorgangen , die durch Data_Objects vom Typ 7 
oder 8 reprasentiert werden. 

Die richtige oder unrichtige tibertragung vrird von dem 
10 Acquirer mitt els einer Nachricht der Advice Response -Klas- 
se bestatigt, und diese Nachricht enthalt eines oder 
mehrere Data_Objects vom oben definierten Typ 5. 

Die Data_Objects der Typen 6, 7 und 8 sind durch die fol- 
15 genden Strukturen und Inhalte definiert: 

Das Data_Object vom Typ 6 enthalt die Header Information 
fur das Fee Claim File, das vom Dienstanbieter bzw. dessen 
Zen tral computer an den Acquirer ubersandt wird . Das Dia- 
20 gramm 11 zeigt die Struktur des Data_Objects vom Typ 6. 



Data_Object_type_6 





FC_Number 



Fee_Total_Sum 



SP_Account 



MAC 



Diagramm 11 



25 



Dieser Data_Object Typ besteht aus den folgenden Da ten- 



element en : 
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FC Number: Dieses D a tene lenient en thai t die Anzahl der 

vor- und nachbezahlungsbezogenen Fee_ 
Claim^Records im Fee Claim File und be- 
stimmt insofern die Anzahl von Data_Ob jects 
5 vom Typ 7 und 8 in der Nachricht. 



Fee Total_Sum: Das Datenelement Fee_Total__Sum en thai t 

die Summe aller Gebuhrenbetrage , die 
in dem entsprechenden Datenelement der 
10 Fee Claim Record Data Objects vom Typ 

7 oder 8 en thai ten sind. 



SP Account: Die Kontonummer (Account Number) des 

Dienstanbieters fur die Gutschrift des 
15 Fee_Total_Sum Betrages . 



MAC: Dieses Datenelement en thai t den 

Message Authentication Code. 

20 Die Datenelemente FC_Number und Fee_Total_Sum sind beides 
4-Byte Zahlen. Das Datenelement SP_Account ist eine 10- 
Byte Zahl. MAC ist eine 8 -Byte Hexadezimal-Zahl - 

Das Data Object vom Typ 7 en thai t einen vorbe z ahlungsbe - 
25 zogenen Fee_Claim_Record des Fee Claim File, das vom 

Dienstanbieter an den Acquirer gesandt wird. Die Struktur 
des Data_Ob jects vom Typ 7 ist im Diagramm 12 gezeigt. 
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Diagranm 12 

5 

Dieser Data-Object Typ besteht aus den folgenden Daten- 
elementen : 



FC_ID: Dieses Datenelement zahlt durchgehend die 

10 Fee_Claim Records des Fee Claim File. Das 

FC_ID Datenelement ist eine 4-Byte Zahl. 



PO: Dieses Datenelement ist z.B. eine 20 -Byte 

Information, entsprechend der Definition 
IS bei Diagramm 7, beziiglich des Data-Objects 

vom Typ 2 . 



Fee^Total : Dieses Datenelement en thai t den Gesamtbe- 

trag aus alien einzelnen Gebiihren, die be- 
20 ziiglich desselben Payment Object von dem 

Verfugungsbetrag in einer OBU abgezogen 
wo r den sind. Das Fee_Total Data Element ist 
eine 2-Byte Zahl. 



25 MAC: 



Dieses 8-Byte lange Datenelement enthalt 
einen Message Authentication Code . 
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Das Data_Object vom Typ 8 en thai t einen nachbezahlungs- 
bezogenen Fee Claim_Record des Fee Claim File, das vom 
Dienstanbieter zum Acquirer zu senden ist. Die Struktur 
5 des Data Object vom Typ 8 ist im Diagramm 13 gezeigt . 



Data_0bject_type_8 



FCJD Payment_Ob)ect 


Fee_Total 


MAC 




OBU/AccountJD 


PP_Sel_Counter 


MAC 



10 Diagramm 13 

Dieser Data_Object Typ besteht aus den folgenden Daten- 
elementen : 

15 FC_ID: 
PO: 

20 

Fee_Total : 

25 



Dieses Datenelement hat die gleiche Be- 
deutung wie bei dem Data_Object vom Typ 
7 , Diagramm 12 . 

Dieses Datenelement ist z.B. eine 18 -Byte 
Information, entsprechend der Definition 
beim Data Object vom Typ 3 , Diagramm 8 . 

Dieses Datenelement enthalt die Gesamtsumme 
aller Gebuhren , die in einer OBU beziiglich 
des gleichen PO abgezogen wurden . Das 
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Datenelement Fee_Total 1st: eine 2 -Byte 
Zahl. 

MAC: Dieses 8 -Byte lange Datenelement enthalt 

5 einen Message Authentication Code . 

Alle mit der Erfullung der Zahlungsgarantie einhergehenden 
Vorgange zur Veranlassung von Gutschriften fur Dienstan- 
bieter und Lastschrif ten fur Emittenten sind im nationalen 
10 und internationalen Bankenverkehr ubliche Ablaufe im Zahl- 
ungsverkehr und brauchen daher an dieser S telle nicht 
wieiter erlautert werden. 

Es wird jedoch angenommen, daft die Weiterleitung der fur 
15 den Zahlungsausgleich relevanten Inf ormationen zu Gut- und 
Lastschrif ten nach dem in der deutschen Kreditwirtschaf t 
ublichen Datentrageraustauschverf ahren (DTA-Verf ahren) 
erf olgt . 

20 Neben dem fur den Z ah lungs ver ken r relevanten Datenaus- 

tausch zwischen Acquirern und Emittenten kann es im Falle 
des Einsatzes vorbezahlter Zahlungsmittel erforderlich 
sein, Lade- und En t lade vorgange betreffende Daten zur 
Uberwachung der Sys terns icherhe it (bezogen auf das Zah- 

25 lungs system) bereitzustellen . Analog zur Organisation 

dieser Auf gab en fur die universe lie Geldborse von Finanz- 
instituten ist gemafi der Erfindung vorgesehen, da& diese 
Uberwachung vom Emittenten durchgefuhrt wird. 

30 Zu dies em ZwecJc fiihrt der Emit tent fiir jedes entsprechende 
Zahlungsmittel ein Schattensaldo , das sich aus der Auf- 
rechnung von Ladebetragen gegenuber Bezahlbetragen ergibt. 
Die Ladebetrage muss en dann von den Ladeagenturen oder - 
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terminals an den Emittenten in Form sog. Lade-Avisen ge- 
meldet werden. Die gegenzurechnenden Bezahlbetrage werden 
im Rahmen der Verarbeitung der oben beschriebenen Fee 
Claim Files ennittelt und an den Emittenten weitergelei- 
5 tet. 

Das S chat ten sal do ist genau einem konkreten Zahlungsmittel 
zugeordnet , offenbart aber keinen Per sonenbezug , da die 
Zahlungsmittel-ID nicht personenbezogen ist. Im allge- 

10 meinen ist ein Schattensaldo immer positiv, und temporare 
Ausnahmen sind nur dann moglich, wenn Lade-Avisen gegen- 
iiber Bezahltransaktionen verspatet verarbeitet werden. 
Dauerhaft negative Schattensalden dagegen deuten auf einen 
ernstzunehmenden Angriff auf das gesamte vorbezahlte Zah- 

15 lungs system bin. 

Gemafi der Erfindung werden die Lade-Avisen in einem 
Load_File an den Emittenten gesendet. Diese Datei besteht 
aus einem Header_Record, der ein Data_Object vom Typ 9 
20 bestimmt, und den eigentlichen Load_Records , d.i. den 

einzelnen Lade- und Entladebetr agen , die durch Data_Ob- 
jects vom Typ 10 und 11 reprasentiert werden. 

Das Data Object vom Typ 9 ist strukturell identisch mit 
25 dam Data_Object vom Typ 6 und enthalt die Header Infor- 
mation zum Load File . 
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Diagramm 14 



5 Dioser Data_ Object Typ besteht aus den folgenden Datenele- 
menten : 



LR^Number: Dieses Datenelement en thai t die Anzahl der 

Load__Records des Load_File und legt somit 
10 die Anzahl der Data Objects vom Typ 10 und 

11 fest. 



Load__Sum: Dieses Datenelement entspricht der Surame 

aller Lade- und Entladebetrage , die in den 
15 folgenden Load_Records bezuglich der jewei- 

ligen Zahlungsmittel en thai ten sind. 



PP_Account: Einer Vielzahl an vorbezahlten Zahlungs- 

mitteln (z.B. elektronischen Geldborsen) 

20 ist i.a. ein einziges Poo Ikon to zugeordnet, 

auf das die mit den entsprechenden Zah- 
lungsmitteln getatigten Bezahlbetrage be- 
lastet werden, die von Dienstanbietern zur 
Gutschrift beim Acquirer eingereicht wer- 

25 den. 



MAC: 



Dieses Datenelement enthalt einen Message 
Authentication Code . 
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Die Datenelemente LR Number und Load_Sum sind 4 -Byte 
Zahlen. Das Datenelement PP_Account ist eine 10-Byte Zahl . 
Der MAC ist eine 8 -Byte Hexadezimal-Zahl . 

Das Data_Object vom Typ 10 enthalt einen Load_Record des 
Load File uber einen Ladevorgang ( z . B . zum Laden einer 
elektronischen Geldborse) , der an den Emittenten iibertra- 
gen wird. 



10 




Data_Object_type_10 



Payment_Object 




ICC/PREVU JD 


ICC_TA_Counter 


Amount 


MAC 



15 



Diagrannn 15 



Dieser Data_Object Typ besteht aus den folgenden Datenele- 
menten : 



20 LR ID: 



Dieses Datenelement zahlt durchgehend die 
Load_Records des Load__File und ist eine 4- 
Byte Zahl. 



Payment_Ob ject : Dieses Datenelement ist z.B. eine 20 -Byte 
25 Information , die das Laden eines Verfu- 

gungsbetrages in ein vorbezahltes Zah lungs- 
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mittel anzeigt. Es kann inhaltlich axis den 
gloichen vier Elementen bestehen, die auch 
fur den Bezahlvorgang uber die Luftschnitt- 
stelle bzw. die Einleitung in den Zahlungs- 
5 verkehr fur das Data_Object vom Typ 2 defi- 

niert sind. 

MAC: Dieses Datenelement en thai t einen Message 

Authentication Code. 

Entladevorgange, d.h. das Entladen von vorbezahlten Zah- 
lungsmitteln, werden durch Data_Objects voxa Typ 11 gemel- 
det, die strukturell identisch zu den Data Objects vom Typ 
10 sind. 

Emittent <-> Ladeins tanz / Verkauf sagentur <-> Zahlungsmit- 
tel/On-Board Equipment 

Die in diesem Zusammenhang f estzulegenden Schnittstellen 
20 betreffen primar den Vertrieb von Zahlungsmitteln und On- 
Board Units, das Auf- oder Entladen von vorausbezahlten 
Zahlungsmitteln und die damit einhergehenden Kundenbe- 
ziehungen und brauchen daher hier nicht weiter erlautert 
zu werden . 

25 

Es muB jedoch darauf hingewiesen werden, daB beim Einsatz 
von multifunktionalen Chipkarten als Tragermedien fur 
Zahlungsmittel und/ oder AGE-Applikationen die schon ange- 
sprochenen technischen Abhangigkeiten zwischen verschie- 
30 denen Karten- und Applikationsemittenten und die damit 

einhergehenden sicherheits technischen Mafinahmen auch auf 
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die rechtlich/organisatorischen Beziehungen abgebildet 
warden mussen. 

Die Strukturen der an dieser Schnitts telle iibertragenen 
5 Nachrichten und Datenobjekte entsprechen im wesentlichen 
den vorstehend schon beschriebenen . 

On -Board Equipment «-> AGE-Kon trolls telle 

Die Uberprufung des Vorhandenseins eines Zahlungsnachwei- 
ses in einem On-Board Equipment durch eine mobile Oder 
stationare AGE -Kontrolls telle erfolgt in einer besonders 
bevorzugten Ausfiihrungsform der Erfindung weitestgehend 
analog zum eigentlichen Zahlungsvorgang mit den schon de- 
finierten Protokollschritten : 

T Tender 

Zuerst wird die Bezahlvorrichtung (OBE) mit 
Angaben zur Funk tionali tat der AGE-Kontroll- 
20 s telle und zum zugeordneten Dienstanbieter 

(Beacon Service Table) versorgt. Auch hier sind 
ahnlich wie im Falle eines Zahlungs-RSE zusatz- 
liche Statusabf ragen (List of Boolean Challen- 
ges) moglich. 

25 

R Registration 

Bevor das OBE seinen Zahlungsnachweis prasen- 
tiert, muB aus Grain den des Datenschutzes die 
Authentizitat der AGE -Kontrolls telle verifiziert 
30 werden. Zu dies em Zweck wird eine Zufallszahl 

(OBE Random Challenge) generiert und zusammen 
mit der Gruppens chilis selnummer sowie einer 
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Angabe des fur die letzte Z ah lung (des ent- 
sprechenden Service -Levels) verwendeten Zah- 
lungssystems an die AGE -Kontrol Is telle uber- 
tragen. Ebenfalls Jconnen dabei Antworten (List 
5 of Boolean Responses) zu den booleschen Abfragen 

ubermittelt werden. 

Receipt Request 

Damit die AGE -Kontrol Is telle durch das OBE 
authentisiert werden kann, werden die RSE- 
Identif ikation, Datum und Uhrzeit der Kontrolle 
an das OBE gesendet. Diese Nachricht ist mit 
einem Authentic a tor versehen, der wie schon 
beschrieben von einem "Sessionkey" abhangt. Da- 
bei wird zur spateren OBE -Au then tisie rung eine 
weitere Zufallszahl (RSE Random Challenge) mit- 
geschickt . 

RP Receipt Presentation 

20 Nach Erhalt einer RQ-Nachricht wird zuerst die 

AGE-Kon trolls telle von OBE authentisiert, indem 
der Authentikator verifiziert wird. Danach wird 
in einer au then tisier ten Nachricht entweder (dim 
Falle eines geschlossenen Systems) das zuletzt 

25 erhaltene, verschlusselte Eintrittsticket des 

entsprechenden Service-Levels prasentiert oder 
(in einem offenen System) die zuletzt getatigte 
Zahlung (Enf orcement-Quittung , ohne Verschlus- 
selung) bzw. im Falle einer gescheiterten Zah- 

30 lung der letzte Zahlungsversuch (Preliminary 

Ticket) nachgewiesen . 



RQ 



10 



15 
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RC Receipt Confirmation 

Nach Empfang und Prufung des Receipt Presenta- 
tion signalisiert die AGE -Ron trolls telle ihr 
Priif ungsergebnis in einer verschlusselten Nach- 
5 richt an das OBE . Ixn Falle einer negativen Pru- 

fung kdnnen die festges tell ten Da ten von der 
AGE-Kontrollstelle dann direkt zur Beweissiche- 
rung und nachtraglichen Gebiihrenzahlung aufbe- 
reitet bzw. weitergeleitet werden . Optional kon- 
10 nen mit der Nach richt (verschlusselt) boolesche 

Markierungen ubertragen werden. 

Prinzipiell konnte da ruber hinaus auch die AGE- 
Kontrollstelle in der Lage sein, aufgrund der 
Identif ikationsdaten zum eingesetzten Zahlungs- 
mittel eine Sperrenpriif ung durchzuf uhren . Falls 
dabei ein Sperrvermerk fur das eingesetzte Zah- 
lungsmittel erkannt wiirde, konnten einerseits 
dem OBE eine Aufforderung zur Sperrung des Zah- 
lungsmittels mitgeteilt und andererseits die 
Identif ikation des eingesetzten Zahlungsmittels 
zur Aktualisierung von Sperrenlisten aufbereitet 
und weitergeleitet werden. 

25 Ein Zahlungsnachweis ist aufgrund der Sicherheitsablauf e 

im Ubertragungsprotokoll nur dann moglich, wenn im OBE zum 
Zeitpunkt des Nachweises das AGE-Anwendungs-SAM aktiv ist. 
Im Falle der OBE-Realisierungsoptionen II und IV kann so- 
mit der Zahlungsnachweis dann scheitern, wenn die Chipkar- 

30 te mit der AGE -Appl ikation zum Kontro 11 zeitpunkt nicht im 
OBE steckt. 



15 



20 
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Weitere Merkmale und Vor telle der Erfindung ergeben sich 
aus der folgenden Beschreibung eines Systems und des damit 
durchfiihrbaren Verfahrens sowie aus den Zeichnungen, auf 
die Bezug genomman wird. Es zeigen: 

5 

Figur 1 ein Blockdiagramm eines aus einem Abf ragesender 
und einem Transponder bestehenden erf indungsge- 
maAen Systems; 



10 Figur 2 eine verallgemeinerte Seitenansicht einer typi- 
schen Anordnungsart eines Systems gemaA Figur 1; 

Figur 3 ein Blocks chaltbild einer Transponder- und Ab- 
fragesenderanordnung tur Verwendung in einem 
15 System gemaA den Figure n 1 und 2; 



Figur 4 ein detaillier teres Blocks chaltbild des Trans- 
ponders gemafi Figur 3 zur Darstellung der 
Transponderkomponenten und einer Smartcard, die 
20 mit dem Transponder kommunizieren kann; und 



Figur 5 ein allgemeines Zeitdiagxamm zur Darstellung des 
mit der Transponder/ Smart card-Anordnung durch- 
fiihrbaren Verfahrens . 

25 

In den verschiedenen Figuren we r den gleiche Komponenten 
mit den gleichen Bezugszeichen und Symbolen versehen . 

Figur 1 zeigt ein Blockdiagramm eines Systems 10 zur auto- 
30 matischen Gebuhrenerhebung am Beispiel einer Gebuhrener- 
hebung fur die Stra&enbenutzung, bei welch em ein Abf rage- 
sender 12 mit einem transportablen Transponder 14 durch 
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Absenden eines Abf ragesignals , einer Transaktionsabfrage 
und einer Transaktionsbestatigung 15a an den Transponder 
14 konnnuniziert, der ein Antwortsignal und eine Transak- 
tionsantwort 15b an den Abf ragesender 12 zurucks chick t . 
5 Bei einem typischen AGE -System 10 kann der Abf ragesender 
12 relevante Teile dieser Information einem Zentralrachner 
(Host) 16 zur Verwaltung und Verarbeitung von Abrechnungs - 
inf ormationen bezuglich des Transponders 14 und der zuge- 
ordneten Smartcard 66 (siehe Figur 4) zuleiten . 

10 

Wie in Figur 2 gezeigt, sind Fahrspuren 28 einem Verkehrs- 
regelungspunkt, wie etwa einer Gebiihreneinzugss telle 29, 
zugeordnet. Dabei hat jede Fahrspur 28 einen ihr zuge- 
ordneten Abf ragesender 12 . Jeder Abf ragesender 12 initi- 

15 iert eine Kommunikation und halt diese uber eine Funkver- 
bindung mit Transpondern 14 aufrecht, die an Fahrzeugen 26 
vorhanden sind, welche sich auf der dem Abf ragesender 12 
zugeordneten Fahrspur 28 bewegen. Die Abf ragesender 12 
konnen einheitliche innere elektrische Parameter haben, 

20 wie z.B. Abf rage sender fahrspurpo si ti on , Abf ragesendesteu- 
erparameter und Abf rageref erenzf requenz . Bei dieser An wen- 
dung ist die Auf gab e des Abf rages en der s 12 , einen 
Transponder 14 anzusto&en oder zu aktivieren, ihn abzu- 
fragen oder den Transponder 14 zur Abgabe spezifischer 

25 Inf ormationen anzuregen, und im Falle eines zulassigen 
Datenaustausches , diese Tatsache dem Transponder 14 zu 
bestatigen. Wie in den Figur en 1 und 2 gezeigt, hat der 
Abf ragesender 12 eine Antenne 18, welche bevorzugt ober- 
halb der Strafe befestigt ist. Die Abf ragesenderelektronik 

30 20 ist mit der Antenne 18 uber ein geeignetes Kabel ver- 
bunden , beispielsweise ein Funkkoaxialkabel 22 . 
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Der Abfragesender 12 kommuniziert drahtlos mit dem 
Transponder 14 durch Senden phasenkodierter und modu- 
lierter Signale, gefolgt von einem kontinuierlichen Hoch- 
frequenzwe liens ignal . Der Transponder 14 kann dem Abfrage- 
5 sender 12 durch moduliertes Zurucksenden des kontinuier- 
lichen Hochfrequenzwellensignals antworten, wie es bei- 
spielsweise in der DE-R 37 74 015 beschrieben ist. Weitere 
Einzelheiten der anschlieBenden KommuniJcation zwischen dem 
Abfragesender 12 und dem Transponder 14 warden welter un- 

10 ten beschrieben. Eine mogliche Aufgabe des Zentralrechners 
16 besteht darin, die Operation des Abf rage senders 12 und 
die peripheren Funktionen der Gebiihreneinzugss telle zu 
steuern. Derartige periphere Funktionen konnen zur Steue- 
rung von Verkehrsschranken und anderen Fahrbahnkontroll- 

15 ausrustungen wie Kameras und Verkehrslichter dienen . Wei- 
tere periphere Funktionen konnten Kommunikationen zwischen 
Abf rage sen der n 12 und mit einem weiteren, nicht darge- 
s tell ten Rechenzentrum (z.B. eines Acquirers) sein , das 
Abbuchungsinf ormationen verarbeitet. Die Anbindung 24 

20 zwischen des Abf rage senders 12 an den Zentralrechner 16 

kann uber Ethernet, Tokenring, RS 232 , RS 422 oder anders 
erf olgen . 

Figur 2 zeigt eine typische Anordnung eines Systems 10. In 
25 dieser Figur fahrt ein Fahrzeug 26 auf einer Fahrspur 28 

und nahert sich dadurch der Antenne 18. Der Transponder 14 
ist entweder auf oder innerhalb des Fahrzeuges 26 ange- 
ordnet. Bevorzugt ist der Transponder 14 an der Front- 
scheibe des Fahrzeugs befestigt. Bei bestixnmten Anwendun- 
30 gen, wie etwa bei aufiergewdhnlich grofien Fahrzeugen, kon- 
nen andere Anbringungsorte , wie etwa die StoBstange eines 
LKW, geeignet sein, um die Variation der Anbringungshohe 
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des Transponders 14 zu reduzieren. Wie In der Figur ge- 
zeigt, nahert sich d&s den Transponder 14 tragende Fahr- 
zeug 26 dem Abf ragesender 12 der Gebiihr enerhebungs s telle 
29. Weitere Einzelheiten bzgl . der Kommunikation zwischen 
5 dem Transponder 14 und dem Abf ragesender 12 we r den im fol- 
genden naher behandelt werden. Ebenfalls we r den die Kom- 
ponenten des Abf rage senders 12 und des Transponders 14 mit 
groBerer Genauigkeit beschrieben. 

10 Fxgur 3 zeigt ein Blockdiagramm der HauptJcomponenten des 
Systems 10. Zunachst wird der Transponder 14 unter Bezug- 
nahme auf Figur 4 im Zusammenhang mit den Figuren 2 und 3 
beschrieben. Das System 10 umfafit bevorzugt Rich tan tennen 
18, wobei jede Antenna 18 auf eine ihr zugeordnete Fahr- 

15 zeugspur 28 ausgerichtet ist. Ein oder mehrere Fahrzeuge 
26 konnen auf jeder Fahrspur 28 fahren, wobei jedes Fahr- 
zeug 26 einen oder mehrere Transponder 14 aufweist. Jeder 
Transponder 14 umfaBt bevorzugt: eine Antenne 30, ein Ana- 
log- oder Analog/Digital-ASIC 32 , ein digi tales ASIC 34 

20 und einen Modulationsref lektor 41. Die Antenne 30 und der 
Modulationsref lektor 41 konnen eine einzige integrierte 
Antenne 31 bilden. Bevorzugt sind das ASIC 32 und das ASIC 
34 in einen einzigen ASIC integriert. 

25 Unter weiterer Bezugnahme auf Figur 3 ist erkennbar , da£ 
die Transponderantenne 30 zum Empfang von Hochf requenz- 
ubertragungen von dem Abf ragesender 12 betrieben wird. Das 
analoge ASIC 32 konvertiert ein von der Transponderantenne 
30 zugefuhrtes Signal in eine Spannung, die bei Uber- 

30 schreiten eines Schwellenwertes den Transponder 14 akti- 
viert. Bevorzugt erfafit das analoge ASIC 32 eine Hoch- 
f requenzmodulation , die uber ein Signal von der 
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Transponderantenne 30 gelagert ist, und wird auch nur dann 
den Transponder 14 aktivieren, wenn diese spezielle Modu- 
lationsf requenz vorhanden ist. Dadurch ist der Transponder 
14 relativ immun dagegen, von storenden Hochf requenzuber- 
5 tragnngen aktiviert zu werden, die nicht von dem Abf rage- 
sender 12 stammen, sondern er wird nur dann aktiviert, 
wenn eine spezielle Frequenz von dem Abf ragesender 12 
ubertragen wird. Der Spannungsschwellenwert kann einge- 
stellt werden. 

10 

Wie Figur 3 weiterhin zeigt, verarbaiten das analoge ASIC 
32 und das digitale ASXC 34 typischerweise das von einem 
Transmitter 52 erhaltene Fragesignal und bilden die not- 
wendigen An two rt da ten . AnschlieBend ubergibt das digitale 

15 ASIC 34 einen forma tier ten Antwortda tens trom an den Modu- 
lations reflek tor 41. Das ASIC 34 kann ein einf aches digi- 
tales System, das ein festes Format verwendet, oder ein 
aufwendigeres digi tales Verarbeitungssystem soin, welches 
eine Vielzahl von Optionen aufweisen kann. Fur ASIC 34 

20 sind viele Funktionen denkbar, beispielsweise Daten- 

speicherung , Transkationshistorie , Datenaustauschproto- 
kolle und Batteriekapazitatwarnsignale . Der Modulations - 
reflektor 41 wird moduliert durch An de rung seiner sicht- 
baren Wellenlange - bevorzugt zwischen 1/4 und 1/2 der 

25 Tragerwellenlange k. Wenn die sichtbare Wellenlange des 
Modulationsreflektors 41 1/2X betragt, reflektiert die 
Antenne 30 einen gro&en Teil der einfallenden Tragerener- 
gie. Wenn der Modulationsref lektor 41 eine sichtbare Wel- 
lenlange von 1/4X aufweist, reflektiert er nur sehr wenig 

30 der einfallenden Tragerenergie . Wie allgemein bekannt, 

kann ein Schalten der Antenne zwischen 1/2X und 1/4X. durch 
Verbinden oder Trennen von zwei 1/4-Stichleitungen durch- 
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gefuhrt werden. Bei der beschriebenen Ausfuhrungsf onn 
liegt die Anderung das Ref lekti on s que r sennit ts bevorzugt 
im Bereich von 45 can 2 und 100 can 2 . Durch Variieren des 
Ref lektionsquerschnitts gemafi dam spezifischen Format: wer- 
5 den Daten vom Transponder 14 zum Abf ragesender 12 ge- 

schickt. Fur die hierfur notwendige Betriebsenergie Icann 
im Transponder 14 eine Batterie vorhanden sein. Alternativ 
Icann der Transponder 14 aber auch seine Be triebs lei stung 
direkt von dam Ho chfrequenz signal erhalten, wie es bei- 
10 spielsweise in der DE-R 37 88 348 offenbart ist. Typi- 
scherweise konnen Transponder 14 in einer kleinen, kre- 
ditkartengroflen Bauform realisiert sein und konnen dadurch 
leicht mitgefiihrt werden. 

15 Kachdem nun die Komponenten des Transponders 14 beschrie- 
ben wordan sind, wird unter weiterer Bezugnahme auf die 
Figur 3 eine bevorzugte Ausfuhrungsf orm des Abf rage senders 
12 behandelt. Der Abf ragesender 12 ist an einem spezifi- 
schen Ort angeordnet, an dem ein Datenaustausch gewiinscht 

20 ist, beispielsweise eine Gebuhrenzahls telle . Das System 10 
kann einen allgemeinen Ref erenzoszillator 50 enthalten, 
der an s einem Ausgang 51 eine Ref erenztragerwelle zur 
Koordination zwischen den Abf rage sendern 12 erzeugt. Jeder 
Abf ragesender 12 hat eine Rich tan tenne 18 und einen Sender 

25 52, welcher ein Triggersignal mit ausreichender Feldstarke 
und vorgewahlter Entfernung aussendet, um einen Transpon- 
der 14 anzusto&en Oder zu aktivieren, der von einem Fahr- 
zeug 26 auf der dem Abf ragesender 12 zugeordneten Fahrspur 
28 getragen wird. 

30 



Figur 4 zeigt ein Blockdiagramm einer bevorzugten Aus- 
f iih rungs f o rm eines Transponders 14 im Zustand der Kom- 
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muniJcation mit einer Smartcard 66 uber eine Schnittstelle 
68. Die Smartcard 66 wird in die Chipkartenkontaktierein- 
heit 70 eingeschoben, so da£ eine Kommunikation uber die 
Schnitts telle 68 erfolgen kann. Der Transponder 14 umfafit 
eine Benutzer schnitts telle 72, welche wiederuni eine Flus- 
sigkristallanzeige 74 und eine Tastatur 76 aufweist. Die 
Fliissigkristallanzeige 74 wird bevorzugt dazu verwandet, 
dem Benutzer den im Transponder 14 gespeicherten Gold- 
be trag oder die zuletzt abgezogene Gebuhr darzustellen. 
Nachdein ein Mikrocontroller 7B des Transponders 14 gepruft 
hat, da£ die Smartcard 66 mit dem Transponder 14 kompati- 
bel ist, kann der Mikrocontroller 78 optional einen "Auto- 
risierungsprozefl" s tar ten , bei dem der Benutzer seine per- 
sonliche Identif ikationsnummer (PIN) uber die Tastatur 76 
eingibt. Zur Sichers tellung , daJB die Smartcard 66 mit dem 
Transponder 14 verwendet warden darf , konnen aber auch 
andere "Autorisierungsverf ahren" verwendet werden. Durch 
die Eingabe der PIN f die vom Mikrocontroller 78 des 
Transponders 14 an die Smartcard 66 ubergeben und von 
dieser mit einem in ihr gespeicherten Identif ikationswert 
verglichen wird, wird sichergestellt , dafl Geldbetrage oder 
andere Daten von der Smartcard 66 nur autorisiert abgege- 
ben werden. Bevorzugt werden die zuvor genannte Prxifung 
und die "Autorisierung" uber die Schnitts telle 68 durchge- 
fuhrt, welche vorzugsweise eine serielle Schnitts telle 
ist. 

Bei einer speziellen Ausf iihrungsf orm der Erfindung kann 
die Smartcard 66 Daten ubertragen, die einen Geldbetrag 
reprasentieren , der bevorzugt mehrfach grower ist als der 
typischerweise von dem Transponder 14 abzugebende Gebuh- 
renbetrag. In dies em Vorgang werden Daten zur Betragshohe 
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der Transaktion , zum Dienstanbieter , zur Smar tear di den - 
tifikation und zu anderon Inf ormationen erzeugt. 

Anfanglich wird also eine Information von der Smartcard 66 
5 erzeugt und in dem Transponder 14 abgelegt. Die aktuell 
von der Smartcard 66 erzeugte Information wird Smar tear d- 
zertifikat genannt. Dieses Smart car dzert if ikat umfaBt ge- 
wohnlich: 1) einen Bereich unverschlusselter Daten, die 
den Ort, die Zeit, die Smar tear dnummer oder andere fur den 

10 Systemverwalter notwendige Inf ormationen zur Sicherstel- 
lung, daB ein gul tiger Vorgang stattgefunden hat, repra- 
sentieren; 2) einen vers chliissel ten Bereich r der sicher- 
heitsrelevante und andere Inf ormationen umfaSt. Falls der 
Mikrocontroller 78 in der Lage ist, erfolgreich diesen 

15 verschliisselten Bereich zu lesen, wird das Zertifikat im 
Transponder 14 unter Verwaltung des Mikrocontrollers 78 
gespeichert. Dieses Smartcardzertif ikat kann im RAM 80 
oder im EE PROM 82 abgelegt werden. Der Vorteil einer Ab- 
speicherung im EE PROM liegt in den permanenten , nicht 

20 fliichtigen Speiehercharakteristiken eines EEPROM. 

Aus Sicherheits- und Datenschutzgrunden ist eine Ver- 
schlusse lungs- /En tschliisse lungs einrichtung 84 vorhanden, 
die mit dem Mikrocontroller 78 kommuniziert . Diese Ver- 

25 schlusselungs/Entschlusselungseinrichtung 84 wird von und 
zur Smartcard 66 ubertragene Daten ver- und entschlusseln 
bzw. authentisieren, Dadurch wird es Personen verwehrt, 
durch unerlaubte Eingriffe in den Transponder 14 die Ver- 
wendung der Smartcard 66 zu umgehen und so den im 

30 Transponder 14 abgespeicherten Geldbetrag zu erhohen. Es 
wird dadurch ebenfalls nicht moglich sein, einen nach- 
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tragi ich ver grdfier ten Geldbetrag von dem Transponder 14 in 
die Smart card 66 ruckzuubertragen . 

Bevorzugt bezieht der Transponder 14 seine Energie aus 
5 Batterien, kann sie aber auch vom Fahrzeug oder aus an- 

deren Quellen erhalten. Zusatzlich kann der Transponder 14 
in ein Fahrzeug oder in ein anderes System integriert 
sein . 

10 Die Smartcard 66 kann von einem Benutzer zu einem Gerat 
ahnlich einem Geldautomaten gebracht werden , in we lch em 
Geld eingegeben werden kann und die sen Geldbetrag repre- 
sent ierende Werteinheiten oder einen anderen Geldbetrag 
der Smartcard 66 ubertragen werden . Alternativ kann Geld 

15 von einem Konto abgehoben oder einem Kreditkonto abgezogen 
werden, und es konnen diesen Geldbetrag reprasentierende 
Da ten oder ein anderer Geldbetrag in die Smartcard 66 
geladen werden. Nachdem diese Daten von dem externen Lade- 
gerat der Smartcard ubergeben worden sind, eingegeben wor- 

20 den sind, kann der Benutzer die Smartcard 66 als elektro- 
nische Geldborse mit sich fiihren und sie in Verbindung mit 
s einem Transponder 14 oder vielleicht anderen An wen dungs - 
moglichkeiten benutzen. 

25 Der Vorteil einer derartigen Verwendung einer Smartcard 
liegt darin , daB sie dem Benutzer einen gewissen Grad an 
Geheimhaltung bzw. Privatsphare verleiht. Bei Systemen, 
bei denen externe Gerate vie Geldautomaten verwendet wer- 
den, kann beispielsweise Bargeld in diese Mas chine direkt 

30 eingegeben werden, wodurch eine Identif ikation des Benut- 
zers nicht notwendig ist . 
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Bei einer typischen Zahltransaktion nach Eintritt in die 
Gebuhrenerhebungszone eines offenen AGE-Systems oder am 
Ausgang aus einem geschlossenen System (z.B. Parkhaus) 
wird der Abf ragesender 12 den Transponder 14 befragen. 
5 Dies beginnt mit einer Annaherungs- oder Weckmeldung zur 
Warming des Transponders 14, da£ er sich in der Gebuhren- 
erhebungszone befindet. Das Annaherungs signal kann bereits 
Informationen zur Art, zum Service und zur Lokalitat der 
Gebuhrenerhebungss telle en thai ten (Beacon Service Table) . 

10 Nach Empfang des Annaherungs signals durch den Transponder 
14 und seiner AJctivierung zeigt der Transponder 14 durch 
Senden eines Bereits schafts signals an den Abf ragesender 12 
seine Bereitschaft zur Abwicklung einer Transaction an. 
Dieses Bereitschaf ts signal Jcann seinerseits Informationen 

15 zur Art und zum Funktionsumf ang des Transponders enthalten 
(Vehicle Service Table) . 

Dann schickt der Abf ragesender 12 ein Abf ragesignal (T) , 
das Angaben zu den vom Dienstanbieter akzeptierten Vertra- 
20 gen und Zah lungs verfahr en (Kredit- oder Debitkarte, Geld- 
borse etc.) und evtl. weitere Informationen zur Gebuhren- 
erhebungss telle en thai t. 

Mit einem Antwortsignal (R) informiert der Transponder 14 
25 den Abf ragesender 12 uber die Klasse des Fahrzeugs 26 , 
uber Zahlungssonderkonditionen (z.B. Behindertentarif , 
GroBkunde, hoheitliches Fahrzeug etc.), uber den Gultig- 
keitszustand von Transponder bzw. Zahlungsmittel (expiry 
date) , uber den Typ des einzusetzenden Zahlungsmittels 
30 sowie ein evtl. vorhandenes Eintrittsticket . Weiterhin 

en thai t das Antwortsignal Daten zum Verschlusselungsver- 
fahren (z.B. Gruppenschlusselnummer) sowie eine vom 
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Transponder 14 oder von der Smartcard 66 erzeugte Zufalls- 
zahl zur Authentisierung des Abf rage senders 12 . Zusatzlich 
konnen In dem Antwortsignal Informationen zum Zeitpunkt 
der letzten Z ah lung ubertragen warden, z.B. wenn diese an 
5 der gleichen Gebuhr enerhebungss telle erf olgte . 

Der Abf ragesender 12 wird diese Information verarbeiten 
und eine Transaktionsabf rage (PD) zur Gebuhrenf orderung 
zuziicksenden . Der Transponder 14 wird dann einen ge eigne - 

10 ten Moment finden, um von den ixn Transponderspeicher 80, 
82 abgelegten, zur Zeit vorhandenen Gesamtwerteinheiten 
Abzuge durchzuf uhren . Alternativ kann auch ein System vor- 
gesehen sein f bei dem die Gebuhrenhohe abhangig ist von 
der gefahrenen Strecke. Dabei ist es bei dem Eintritt in 

15 diese gebuhrenpf lichtige Zone lediglich notwendig, dafi am 
Eintrittspunkt ein Ortscode bzw. ein Eintrittsticket im 
Transponder 14 gespeichert wird. Bei dieser Vorgehensweise 
wird bei der An nan e rung an den Gebiihrenbereich der 
Transponder 14 seinen Eintrittspunkt dem Abf ragesender 12 

20 im Antwortsignal (R) angeben. Der Abf ragesender 12 wird 
dann die sich daraus ergebende Gebuhr berechnen und dem 
Transponder 14 in der Transaktionsabf rage (PD) mitteilen. 
Zu dies em Zeitpunkt wird die Gebuhrenhohe von dem im 
Transponder 14 gespeicherten Betrag abgezogen werden, wie 

25 es bereits oben beschrieben wurde . 

In Abhangigkeit vom aktuellen Zeitpunkt und aufgrund der 
im Antwortsignal (R) enthaltenen Daten zur Fahrzeugklasse , 
zu den Zahlungs sonde rkonditionen und zum Eintrittsticket 
30 (oder Eintrittsstelle , Auf enthaltsdauer etc.) wird im Ab- 
f ragesender 12 die zu zahlende Gebuhr ermittelt. Als 
nachstes sendet der Abf ragesender 12 an den Transponder 14 
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eine Transaktionsabfrage (PD) , welche die zu entrichtende 
Gebiihr enthalt sowie Datum und Uhrzeit des Transaktions- 
zeitpunkts, einen Status Oder Fehlercode, eine vom 
Transponder 12 generierte Zufallszahl zur Authentisierung 
des Transponders 14 , sowie eine Information zu dem der 
Preisbestimmung zugrundegelegten Tarif . Ebenfalls enthalt 
die Transaktionsabf rage einen Message Authentication Code 
(MAC) , der einen vers chlussel ten Sicherungscode unter Ver- 
wendung eines Verschliisselungsverf ahrens wie z.B. des Data 
Encryption Standards (DES) darstellt. 

Nach Priifung des in der Transaktionsabf rage (PD) enthal- 
tenen MAC , d.h. der Authentisierung des Abfragesenders 12 
durch den Transponder 14 , wird der in den Transponder- 
speichern 80 bzw. 82 abgelegte Verfugungsbetrag urn die 
geforderte Gebiihr reduziert und das Verarbeitungsergebnis 

(Status) zusammen mit dem Smarcardzertif ikat in einer 
Transaktionsantwort (P) an den Abf ragesender 12 ubertra- 
gen. Die Transactions an twort (P) enthalt als Transponder- 
zertifikat ebenfalls einen Message Authentication Code 

(MAC) , der vom Transponder 14 erzeugt wird. Dieser wird 
vom Abfragesender 12 nach Empf ang der Transaktionsantwort 

(P) gepruf t, so ***ft im positiven Falle der Transponder 14 
als authentisch gilt. 

Zur Beendigung der Transaktion sendet der Abfragesender 12 
anschlieBend eine teilweise verschliisselte Transaktionsbe- 
statigung (CR) an den Transponder 14, die mindestens eine 
Bestatigung der erfolgten Zahlung (Status) , Inf ormationen 
zum Zahlungsort und -zeitpunkt, eine Quittungsnummer und 
einen Authentikator (z.B. MAC) enthalt. Nach der erfolg- 
reichen Entschlusselung der Transaktionsbestatigung (CR) 
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werden die Quittungsdaten in den Transponderspeichern 80 
bzw. 82 so abgelegt, daB sowohl eine zusatzliche Nutzer- 
information als auch ein Zahlungsnachwais z.B. gegenuber 
einer Kontr oils telle erfolgen kann. 

5 

Die Obertragung des Smartcardzertif ikats vozn Transponder 
14 an den Abfragesender 12 ermoglicht es den administra- 
tiven Einrichtungen, eine sogenannte "Schattenbilanz" zu 
pflegen oder eine standige Zahlung durchzuf iihren , wie oft 

10 eine ausgegebene Smart card 66 belastet worden ist und dafi 
die in der ausgegebenen Smartcard 66 vorhandene Geldmenge 
mit der auch tatsachlich in diese Smartcard 66 geladene 
Geldmenge ubereinstimmt . Dies verletzt nicht notwendiger- 
weise die Privatsphare des Benutzers , da im allgemeinen 

15 der Name eines Benutzers nicht mit einer ausgegebenen 
Smartcard 66 in Verbindung gebracht werden kann. Jede 
Transaction hat eine zugeordnete Transaktionsnummer , so 
dafi bei der Erstellung der Buchfuhrung aller Transaktionen 
f ehlende Transaktionen leicht identif iziert werden konnen . 

20 

Durch die Ubertragung des Annaherungs signals r des Bereit- 
schaf tssignals , des Abf rage signals , des Antwortsignals , 
der Transaktionsabf rage , der Transactions an twort und der 
Transaktionsbestatigung sowie durch Aktualisieren der 

25 Informationen direkt zwischen den Transponderspeichern 80/ 
82 und dem Abfragesender 12 anstatt direkt zwischen der 
Smartcard 66 und dem Abfragesender 12, werden Zeitprobleme 
bezuglich der Datenubertragung in ein em Kommunikations- 
fenster, in welchem sich der Transponder innerhalb der 

30 Funkkeule des Abf rage senders aufhalt, uberwunden. Durch 

die umf angreichen Sicherheitsverf ahren, die Protokolle und 
den standi gen Austausch zwischen dem Abfragesender 12 und 



WO 97/22953 



PCT/EP96/05158 



- 115 - 

dem Transponder 14, sind die mit bekannten "Kartengeld"- 
Anwendungen verbundenen SicherheitsbedenJcen groBtenteils 
uberwunden . 

5 Die Transaktionsgeschwindigkeit ist bei dieser Ausfuh- 
rungsform enoim verbessert verglichen mit Systemen, bei 
denen die Smartcard 66 direkt mit Abf ragesendern 12 uber 
einen Transpondermodulator und -demodulator kommuniziert . 
Dies liegt daran, dafi die me is ten Smartcards 66 langsame, 

10 serielle Standardschnittstellen haben . Es ist wichtig, da£ 
die Datenubermittlungszeit zwischen dem Abfragesender 12 
und dem Transponder 14 unabhangig ist von der Zugriffszeit 
zur Ermittlung und Speicherung von Daten aus und in die 
Smartcard 66 . Durch das zeitweise Ablegen von Daten in den 

15 Speichern 80 , 82 des Transponders 14 kann die langsamere 
Kommunikation zwischen dem Transponder 14 und der Smart- 
card 66 stattfinden, nachdem die Kommunikation mit der 
Gebuhrene in zugss telle beendet wo r den ist. 

20 Bei einer speziellen Ausfuhrungsf orm kann die gesamte in 
der Smartcard 66 gespeicherte Geldmenge dem Transponder 14 
ubertragen werden. Vor dem Herausziehen der Smartcard 66 
kann die verbliebene Geldmenge wieder in die Smartcard 66 
ruckubertragen werden. Bei diesem Vorgang wird die Bedeu- 

25 tung der Verschlusselung von im Transponder 14 gespeicher- 
ten Daten of f ensichtlich . Es ist eine wichtige Anforde- 
rung, daA es keiner Person ermoglicht wird, im Transponder 
14 gespeicherte Daten zu manipulieren oder durch Ruckuber- 
tragung des Geldes vom Transponder 14 zur Smartcard 66 

30 eine vergro&erte Geldmenge zu erzeugen . Die Rolle der Ver- 
schlusselungseinrichtung 84 liegt darin , diese Daten zu 
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verschlusseln und in ablauf - und manipulationssichere 
Verarbeitungssequenzen einzubetten . 

Bevorzugt ist eine vollstandige Datentransaktion innerhalb 
5 von 10 Millisekunden (ms) durchf uhrbar . Wahrend dieser 

Zeit wird der Transponder 14 dexn Abf ragesignal des Abfra- 
gesenders 12 an two r ten. Gleichzeitig wird dabei die Gebiihr 
festgelegt und dam Transponder 14 ubermittelt. Es werden 
auch die Zertifikate erzeugt und der richtige Betrag vom 

10 Verf iigungsbetrag innerhalb des Transponders 14 abgezogen. 
Wahrend die Erfindung eine Durchf iihrung dieser Transaktio- 
nen innerhalb von 10 ms ermdglicht, konnen dies bekannte 
Smartcard/ Transponder einrichtungen typischerweise nur in 
300 bis 500 ms bewerkstelligen . Nachdem die Transaktion 

15 beendet ist, kann der Transponder 14 die Daten in der 
Smartcard 66 aktualisieren , wenn die Kommunikationsge- 
schwindigkeit nicht mehr entscheidend ist, d.h. wenn sich 
der Transponder 14 nicht mehr innerhalb des Erfassungsbe- 
reichs des Abf rage senders 12 aufhalt. 

20 

Die Smartcard 66 kann sowohl von verschiedenen Benutzern 
als auch fur verschiedene Anwendungen verwendet werden. 
Dadurch wird in dieser Anwendung das Problem der aktuellen 
und direkten Abspeicherung von Geldbetragen im Transponder 

25 14 uberwunden , was den Nachteil der eingeschrankten Mobi- 
litat hatte, da der Transponder 14 gewohnlich in einem 
einzigen Fahrzeug vorhanden und nicht fur andere Verwen- 
dungsmoglichkeiten nutzbar ist. In der vorliegenden Aus- 
f iihrungsf orm kann ein Benutzer seine Smartcard 66 mit 

30 s einem Transponder 14 fur Gebuhrenentrichtungen verwenden, 
kann sie aber auch fur Warenautomaten , offentliche 
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Telefoneinrichtungen oder andere Anwendungsmoglichkeiten 
einsetzen . 

Dieso Ausfuhrungsform hat des weiteren den Vorteil des 
verbesserten Datenschutzes und der grofieren Flexibilitat 
im Vergleich zu ,, Money-on-Tag"-Systemen / in denen ledig- 
lich Gold direkt auf einem "Tag" abgespeichert ist. Bei 
derartigen im Stand der Technik bekannten Systemen sind 
spezielle Agenturen oder Systembetreiber mit Spezialge- 
raten erf orderlich, urn in den Transponder 14 Geld zu la- 
den. In der vorliegenden Ausfuhrungsform wird der Trans- 
ponder 14 mit Geld aus der Smartcard 66 geladen, welche 
wiederum Geld uber Automaton ahnlich Geldausgabeautomaten 
erhalten haben kann, 

Figur 5 stellt ein Zeitdiagramm fur eine Ausfuhrungsform 
dieser Erfindung dar. Der Zeitablauf kann dabei in drei 
einzelne Phasen unterteilt werden. Die erste Phase "Phase 
A - Einfuhren" beschreibt den Teil der Benutzeroperation , 
wenn der Benutzer die Smartcard 66 in den Transponder 14 
einfuhrt. Dieser Schritt wird in Figur 5 mit dem Block 102 
bezeichnet . 

Als nachstes kann der Benutzer wahlweise eine personliche 
Geheimnummer (PIN) in die Tastatur 76 eingeben , sofern der 
Transponder 14 entsprechend ausgestattet und das in der 
Smartcard 66 enthaltene Zahlungsmittel dies gestattet bzw. 
erfordert. Dies ist mit Block 104 bezeichnet. Nach der 
Eingabe wird die PIK vom Mikrocontroller 78 des Transpon- 
ders 14 an die Smartcard 66 ubergeben und von dieser mit 
einem in ihr gespeicherten Identif ikationswert verglichen . 
Im positiven Fall ist die Autorisierung abgeschlossen, und 
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es kann auf die zahlungs re le van ten Da ten in der Smart card 
66 zugriffen werden . Abhangig vom gewiinschten bzw. gef or- 
der ten Sicherheitsgrad des Zahlungsmittels kann dieser 
AutorisierungsprozeB auch entfallen oder andersartig er- 
5 f olgen . 

Bex Block 106 erzeugt die Smart card 66 ein Smartcardzer- 
tifikat, umfassend: 1) einen Tell unvers chlussel ter Da ten, 
die den Ort und die Zeit der Bereitstellung, die Smart- 

10 cardnummer, die von der Smartcard heruntergeladene Geld- 
menge dars tellenden Werteinheiten und evt. waiter© , fur 
den Zahlungs systembetreiber notwendige Information en (z.B. 
Abbu chungs zahler , Message Authentication Code) en thai ten; 
und 2) einen vers chlussel ten Bereich mit sicherheitsrele- 

15 van ten und anderen Infonnationen, die zur Priifung der 
Authentizitat des Vorgangs benotigt werden. Falls der 
Mikrocontroller 78 diesen vers chlussel ten Bereich erfolg- 
reich interpretieren kann, wird das Zertifikat im 
Transponder 14 entweder im RAM 80 oder im EEPROM 82 unter 

20 Kontrolle des Mikrocontrollers 78 abgespeichert . 



Kachdem dieses durchgef iihrt wurde, ist der Transponder 14 
bereit, Gebuhrenerhebungs trans aktionen mit dem Abf rage sen- 
der 12 durchzufuhren. Dieses ist in Figur 5 als "Phase B" 

25 gezeigt. Diese Phase beginnt, wenn der Transponder 14 eine 
Gebuhrenzone erreicht, was im Block 110 gezeigt ist. Der 
Abf ragevorgang wird mit einem Annaherungs- oder Wecksignal 
beginnen, urn den Transponder 14 auf den Eintritt in einen 
Gebuhrenberelch aufmerksam zu machen . Das Signal kann die 

30 o.g. Einzelheiten zur Gebiihrens telle enthalten. Der 

Transponder 14 signalisiert in einem Bereitschaf ts signal 
gegenuber dem Abf ragesender 12 , daB er f iir die Durchf uh- 
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rung einer Transaction geriistet ist. Der Abfragesender 
schickt dann ein Abf ragesignal (T) ab, das Angaben zu den 
vom Dienstanbieter akzeptierten Vertragen und Zahlungsver- 
fahren enthalt. Mit seinom Antwortsignal (R) informiort 
dor Transponder 14 den Abfragesender 12, wie oben be- 
schrieben, u.a. uber die Fahrzeugklasse, Zahlungssonder- 
konditionen, das einzusetzende Zahlungsmittel , ein evtl . 
vorhandenes Eintrittsticket , das Verschlusselungsverf ahren 
und die zu verwendende Zufallszahl zur Authentisierung des 
Abf rage senders 12 . 

Bei Block 112 sendet der Abfragesender 12 an den Trans- 
ponder 14 eine Transaktions abf rage (PD) , welche die zu 
entrichtende Gebuhr enthalt sowie Datum und Uhrzeit des 
Transaktionszeitpunkts, eine weitere Zufallszahl zur 
Authentisierung des Transponders 14 , sowie eine Informa- 
tion zum Gebuhrentarif . Ebenfalls enthalt die Transakti- 
onsabfrage einen Message Authentication Code (MAC) , der 
einen verschliisselten Sicherungscode unter Verwendung 
eines Verschlusselungsverf ah rens wie z.B. des Data 
Encryption Standards (DES) darstellt. Nach der Authenti- 
sierung des Abfragesenders 12 durch den Transponder 14 und 
der Reduzierung des in den Transponderspeichern 80 bzw. 82 
abgelegten Verfiigungsbetrages sendet der Transponder 14 
sein Verarbeitungsergebnis zusammen mit dem Smartcard- 
zertifikat in einer Transaktionsantwort (P) an den Abfra- 
gesender 12. Die Antwort enthalt als Transponderzertif ikat 
ebenfalls einen Message Authentication Code (MAC) , der vom 
Transponder 14 erzeugt und vom Abfragesender 12 zur 
Authentisierung des Transponders 14 und des Zahlungs- 
vorganges gepriift wird. 
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Dor Abfragesender 12 wird dann diese Information verar- 
beiten und eine Transaktionsbestatigung (CR) zur Beendi- 
gung der Transaktion zurucksenden , was im Block 114 dar- 
gestellt ist. Die Transaktionsbestatigung en thai t die o.g. 
5 Informationen zur erfolgten Zahlung, zum Zahlungsort und - 
zeitpunkt, eine Quittungsnummer und einen Au then tika tor 
(z.B. MAC) . Nach der erfolgreichen Entschlusselung der 
Transaktionsbestatigung (CR) werden die Quittungsdaten in 
den Transponderspeichern 80 bzw. 82 so abgelegt, H^fi so _ 
10 wohl eine zusatzliche Nut zer information als auch ein 

Zahlungsnachweis gegenuber einer Kontrollstelle erfolgen 
kann. Die Schritte 110 bis 114 konnen so oft wiederholt 
werden, solange die im Speicher 80 bzw. 82 vorhandene 
Werteinheitenmenge nicht einen Minimalwert unterschreitet. 

15 

Die "Phase C" bezeichnet die Herausnahme der Smartcard auf 
Wunsch des Benutzers , was im Block 120 angedeutet ist. Zu 
dies am Zeitpunkt wird die gesamte im Transponder 14 ver- 
bliebene Geldmenge bevorzugt uber die Schnitts telle 68 der 

20 Smartcard 66 ruckuber tragen . Die Riickubertragung wird be- 
vorzugt verschlusselt und eingekleidet in ein Authentika- 
tionsprotokoll durchgefuhrt , so daB insbesondere eine 
Riickubertragung nur moglich ist f wenn zuvor eine authen- 
tische und von der Smartcard 66 zertif izierte Abbuchung 

25 innerhalb des Transponders 14 erfolgt ist. Der in der 

Smartcard 66 vorhandene Geldbetrag wird auf den neuesten 
Stand gebracht (siehe Block 124) . Wie in Block 126 ge- 
zeigt, kann nun die Smartcard 66 aus dem Transponder 14 
herausgenommen werden . 

30 

Im Vorangegangenen sind einige wenige bevorzugte Ausfuh- 
rungs forme n beschrieben worden. Es ist aber klar , daB der 
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Umfang der Erf indung auch zu den beschriobonon abweichende 
Ausfuhrungsf ormen umf aBt , wis aus den Paten tan zu entneh- 
xnen 1st. 

5 Beispielsweise konnen Anzeigevorrichtungen Kathodens trahl- 
rohren oder andere Zeilenabtastvorrichtungen , Fliissig- 
Jcristallanzeigen oder Plasmaanzeigen sein. Der Begriff 
"Mi Jcro computer" 1st in einigen Zus anmenhangen in dem Sinne 
verwendet worden, da£ ein Microcomputer einen Speicher 

10 bendtigt, wahrend ein "Mikroprozessor" diesen Speicher 
nicht bendtigt. Trotzdem konnen diese Begriff e in der 
vorliegenden Beschreibung als synonym angesehen werden. 
Die Begriffe "Controller", "Prozessorschaltkreis" und 
"Steuerschaltkreis" umf as sen ASICs (Application Specific 

15 Integrated Circuits) , programmierbare integrierte Bau- 
steine mit logischer Struktur wie PAL oder PLA, Dekoder, 
Speicherbausteine , nicht auf Software basierende Prozes- 
soren , andere Schaltkreise , digitale Computer einschlieB- 
lich Mikropr o zes soren und Microcomputer beliebiger Archi- 

20 tektur, oder Kombinationen davon. Mit Speichereinrichtun- 
gen sind gemeint SRAM (Static Random Access Memory) , DRAM 
(Dynamic Random Access Memory) , pseudostatische RAM, 
Baltekreise, EE PROM (Electronically-Erasable Programmable 
Read-Only Memory) , EPROM (Erasable Programmable Read-Only 

25 Memory) , Register oder andere im Stand der Technik be- 

kannte Speichereinrichtungen . Diese Auf z ah lung erhebt kei- 
nen Anspruch auf Vollstandigkeit bezuglich der Erf indung. 

Fr equen zumtas t-Modula t i on (frequency shift keyed modula- 
30 tion, FSK) ist als ein mdgliches Datenmodulationsverf ahren 
anzusehen, aber auch Impuls- Pause-Modulation (pulse -pause 
modulation) , Amplitudenumtastung (amplitude shift keying, 



WO 97/22953 



PCT/EP96/0S158 



- 122 - 

ASK) , Quadratur-AM-Modulation (QAM) , Phasenumtastung 
(phase shift keying, PSK) , Quadratur- Phasenumtastung 
(quadrature phase shift keying, QPSK) oder jede andere 
Modulationsart . Unterschiedliche Multiplexverf ahren wie 
Zeit- oder Frequenzmodulation konnen ebenfalls angewandt 
werden, um Storsignaleinf lusse zu venneiden. Eine Modu- 
lation kann auch durch Ref lektionsmodulation (back-scatter 
modulation) , durch aktive Modulation einer Tragerf requenz 
oder durch andere Verf ahren erreicht werden. 

Eine Imp lemen tie rung kann sowohl in diakreten Teilkompo- 
nenten als auch in voll-integrierten Schaltkreisen aus 
Silizium, Galliumarsenid oder anderen elektronischen Mate- 
rialf ami lien erfolgen. Es werden aber auch optische oder 
auf anderen Techno logien basierende Ausf uhrungsf ormen er- 
wogen. Auf jeden Fall sollte klar sein, da& verschiedene 
Ausf uhrungsf ormen der Erfindung Hardware, Software bzw. 
Firmware verwenden konnen. 

Obwohl die Erfindung bezuglich einer anschaulichen Aus- 
fuhrungsform beschrieben wurde, soli damit keine Ein- 
schrankung impliziert werden. Fur die Fachleute dieses 
GebieteB der Technik ist klar, daS mit der beispielhaf ten 
Beschreibung auch die unterschiedlichsten Modif ikationen 
und Kombinationen sowohl der beschriebenen als auch an- 
derer Ausf uhrungsf ormen angesprochen werden sollen. Diese 
sollen durch die folgenden Anspruche eingeschlossen 
werden . 
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PATENTANSFRPCHE 

5 1 . Verf ahren zur automatischen Abwicklung von bargeld- 

losen f vorzugswei.se beriihrungsf reien , Zahlungs vorgangen , 
insbesondere zur automat i schen Erhebung von Gebuhren und 
dergleichen, zwi schen einem Leistungs- oder Dienstanbieter 
und einem Nutzer dieser Leistung bzw. dieses Dienstes, der 

10 dafur mit exnem bargeldlosen , insbesondere elektroni schen 

Zahlungsmittel wie etwa einer Kreditkarte , einer Debitkarte 
oder einer elektronischen Geldborse bezahlt, wobei das Ver- 
f ahren auch im Zusammenhang eines Zahlungs systems eingesetzt 
werden kann , in welchem der Nutzer das Zahlungsmittel von 

15 einem Emittenten, insbesondere einer Bank oder dergleichen 
erhalt und die Freigabe der Zahlung in Form einer bindenden 
Erklarung der Zahlungsbereitschaf t erfolgt, wahrend der 
Empfang der Zahlung in Form der Annahme der Erklarung er- 
folgt , und der Emit tent dem Leistungs- oder Dienstanbieter, 

20 insbesondere uber eine Verrechnungss telle (Acquirer) , die 

Gebiihr oder dergleichen auszahlt und hieruber mit dem Nutzer 
abrechnet, folgende Schritte umfassend: 

- Bereitstellung von Da ten, die wenigstens die Iden- 
tifikation des Zahlungsmittel s und der fur Zahlung 

25 und Verrechnung relevanten Einzeldaten wie Betrag 

oder Kontoidentif ikation reprasentieren r in einer 
nutzerseitigen Bezahlvorrichtung ; 

- Bereitstellung einer Erhebungsvorrichtung seitens 
des Anbieters f die mit der Bezahlvorrichtung eine 

30 Kommunikationsschnitts telle bilden und die in der 

Bezahlvorrichtung bereitges tell ten Daten empfangen 
kann . 
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Festlegung und Mitteilung der zu leistenden Zah- 
lung, insbesondere Gebiihr, durch die Erhebungs- 
vorrichtung an die Bezahlvorrichtung nach Aufbau 
der Kommunikations schnitts telle ; 
5 - Freigabe der Zahlung durch die Bezahlvorrichtung 

und Empfang der Zahlung durch die Erhebungsvor- 
richtung 

Quittungsubergabe von der Erhebungsvorrichtung an 
die Bezahlvorrichtung und Erf as sung der Aus zahlung 
10 durch die Bezahlvorrichtung; sowie 

Erfassung der Zahlung durch die Erhebungsvorrich- 
tung und, ggf . zeitlich getrennte, Einleitung der 
Zahlungsdaten in ein Abrechnungs system, 

wobei die Festlegung sowie die Ubergabe der Zahlung, die 
Quittungsubergabe und die Aus zahlungser fas sung durch Da ten - 
transfer entsprechender Bewegungsdaten und Verrechnungsdaten 
iiber die Kommunikationsschnittstelle zwischen Bezahlvorrich- 
tung und Erhebungsvorrichtung erfolgen und wobei die Da ten - 
struktur der Verrechnungsdaten so gewahlt ist, da£ sie auch 
fur die Weiterverarbeitung beim Emit ten ten und ggf . beizn 
Aguirer eingesetzt werden kann. 

2 . Verfahren zur automatischen Abwicklung von barge ld- 
25 losen, vorzugsweise beruhrungsf reien , Zahlvorgangen , ins- 
besondere zur automatischen Erhebung von Gebuhren und der- 
gleichen, zwischen einem Leistungs- oder Dienstanbieter und 
einem Nutzer dieser Leistungen bzw. dieses Dienstes, der 
dafiir mit einem bargeldlosen, insbesondere elektronischen 
30 Zahlungsmittel wie etwa einer Kreditkarte, einer Debitkarte 
oder einer elektronischen Geldbdrse bezahlt, wobei das Ver- 
fahren auch im Zusaxmnenhang eines Zahlungssys terns eingesetzt 



15 



20 
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we r den kann, in welchem dor Nutzer das Zahlungsmittel von 
einem Emittenten, insbesondere einer Bank oder dorgleichen 
erhalt und die Freigabe der Zahlung in Form einer bindenden 
Erklarung der Zahlungsbereitschaf t erfolgt, wahrend der 
5 Empf ang der Zahlung in Form der Annahme der Erklarung er- 
folgt, und der Emittent dem Leistungs- oder Dienstanbieter , 
insbesondere iiber eine Verrechnungss telle (Acquirer) , die 
Gebiihr oder dergleichen auszahlt und hie ruber mit dem Nutzer 
abrechnet, folgende Schritte umfassend: 
10 - Bereitstellung von Daten, die wenigstens die Iden- 

tif ikation des Zahlungsmittels und der fur Zahlung 
und Verrechnung relevanten Einzeldaten wie Betrag 
oder Kontoidentif ikation reprasentieren, so wie von 
Daten, die wenigstens die Identif ikation der zu 
15 leistenden Zahlung ermoglichen, in einer nutzer- 

seitigen Bezahlvorrichtung; 

- Bereitstellung einer nutzerseitigen Erkennungsvor- 
richtung, welche bei Nutzung der Leistung bzw. des 
Dienstes durch den Nutzer ein entsprechendes Sig- 

20 nal, insbesondere in Form von Daten, die die er- 

folgte Nutzung reprasentieren, an die Bezahlvor- 
richtung abgibt; 

Empfang des von der Erkennungsvorrichtung abgege- 
benen Signals und automatische Festlegung der zu 
25 leistenden Zahlung, insbesondere Gebiihr, anhand 

einer Tabelle oder durch einen Algorithmus; 

- Freigabe und Zahlung durch das Zahlungsmittel in 
der Bezahlvorrichtung , sowie 

Ablage einer entsprechenden Zahlungsquittung in 
30 der Bezahlvorrichtung, 
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wobei die Froigabe der Zahlung und die Quittungsablage durch 
Transfer entsprechender Verrechnungsdaten in der Bezahlvor- 
richtung erfolgen, und wobei die Datenstruktur der Verrech- 
nungsdaten so gewahlt ist, daB sie auch fur die Weiterver- 
arbeitung beim Emittenten und ggf . beixn Acquirer eingesetzt 
we r den kann . 

3. Verfahren nach Anspruch 1 oder 2, wobei die Zahlung 
eine Benutzungsgebiihr , insbesondere fur ein Transportmittel , 
eine StraBe, ein Gebaude und besonders bevorzugt eine Gebiihr 
fur die Benutzung einer AutostraBe durch ein Fahrzeug ist. 

4 . Verfahren nach einem der Anspriiche 1 bis 3 , 
dadurch gekennzeichnet , daB die Zahlung durch den Nutzer in 
Form einer Vorausbe zahlung (vorbezahltes Zahlungsmittel) 
oder einer Nachbezahlung (nachbezahltes Zahlungsmittel) , 
z.B. durch Rontoangabe oder dergleichen, realisiert wird. 

5 . Verfahren nach einem der Anspriiche 1 bis 4 , 
dadurch gekennzeichnet, daB das Zahlungsmittel ein univer- 
sell, dienstunabhangig einsetzbares Zahlungsmittel oder ein 
fiir den jeweiligen Dienst spezif isches , insbesondere vom 
Dienstanbieter emittiertes Zahlungsmittel ist. 

6. Verfahren nach einem der Anspriiche 1 bis 5, 
dadurch gekennzeichnet, daB das Zahlungsmittel von Da ten in 
einer Mikroprozessorkarte (ICC) oder einem Speicher der 
Bezahlvorrichtung reprasentiert wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, 
dadurch gekennzeichnet, daB eine Tabelle oder ein Algorith- 
mus zur Festlegung der zu zahlenden Gebuhr entweder vom 
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Leistungs- oder Dienstanbieter in der Erhebungsvorrichtung 
eingerichtet wird, wobei die zu zahlende Gebuhr nach Aufbau 
der Kommunikationsschnittstelle in der Erhebungsvorrichtung 
ermittelt und der nutzerseitigen Bezahlvorrichtung durch 
5 Datentransfer entsprechender Bewegungsdaten und Verrech- 
nungsdaten ubermittelt wird, oder die Tabelle oder der 
Algorithmus in der nutzerseitigen Bezahlvorrichtung vor- 
liegt, wobei die zu zahlende Gebuhr entweder direkt ixn Zah- 
lungsmittel abgebucht wird oder bis zur nach s ten Dateniiber- 
10 tragung mit einer externen Erf assungss telle gespeichert 
wird. 



8 . Verfahren nach Anspruch 7 , 

dadurch gekennzeichnet , daB der Datentransfer an der Kom- 
15 munikationsschnitts telle beriihrungsf rei , insbesondere uber 
Funk und dergleichen erfolgt. 

9 . Verfahren nach Anspruch 7 , 

dadurch gekennzeichnet , daB die Auslosung einer 2 ah lung uber 
20 ein Global Navigation Satellite System (GNSS) erfolgt. 



10. Verfahren nach einem der An sp ruche 1 bis 9, 
dadurch gekennzeichnet, daB die Bezahlvorrichtung und/oder 
die Erhebungsvorrichtung gegen bewuBte Angriffe und unbeab- 
25 sichtigte Ereignisse geschutzt sind. 



11. Verfahren nach Anspruch 10, 
dadurch gekennzeichnet, daB apparative bzw. funktionale Ein- 
richtungen vorgesehen werden zum Schutz vor unbefugtexti Zu- 
30 gang zu Inf ormationen , unbefugter Modifikation von Infor- 
mationen, Hardware und Software sowie von Systemzusaaanen- 
hangen , unbefugter Beeintrachtigung der Funktionalitat von 
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Systemen und Komponanten und vor unbefugten Eingriffen in 
die Nachweisbarkoit von Datentransf era , Zahlungsvorgangen 
und dergleichen . 

12. Verfahren nach einem der Anspriiche 10 oder 11, 
dadurch gekennzeichnet , daB die MaBnahmen zum Schutz vor 
bewufiten Angriffen und unbeabsichtigten Ereignissen auf der 
Verwendung kryptographischer Mechanismen basieren, und ins- 
besondere kryptographische Mechanismen zur Au then tisie rung 
von Daten, Vorgangen und Komponenten, die an einer Kommuni- 
kation beteiligt sind, eingesetzt werden. 

13. Verfahren nach einem der Anspriiche 10 bis 12, 
dadurch gekennzeichnet, daB zum Schutz vor bewuBten An- 
griffen Authentikationsmechanismen auf Basis von Zufalls- 
zahlen, Message Authentication Codes, digital en Signaturen 
und dergleichen eingesetzt werden. 

14. Verfahren nach einem der Anspriiche 10 bis 13, 
dadurch gekennzeichnet , daB der Dienstanbieter und der 
Emittent des Zahlungsmittels unterschiedliche oder iden- 
tische Standardisierte Sicherheits verfahren <SAMs) ein- 
setzen . 

15. Verfahren nach Anspruch 14, wobei die Datentrans- 
fers teilweise oder vollstandig in verschliisselter Form 
erf olgen und insbesondere die Daten zur Fehlererkennung 
durch kryptographische MaBnahmen kodiert werden. 

16. Verfahren nach einem der Anspriiche 1 bis 15, wobei 
der Gebiihrenerhebungsvorgang folgende Schritte umfaBt: 
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Ubermittlung von Daten von der Erhebungsvorrich- 
tung an die Bezahlvorrichtung, die mindestens den 
Typ und die Eigenschaf ten der Erhebungsvorrichtung 
und optional die von dieser akzeptierten Zahlungs- 
mittel identif izierten (Tender, T) ; 
durch den Empfang des T ausgeldste Ubermittlung 
von Daten von der Bezahlvorrichtung an die Erhe- 
bungsvorrichtung, die Angaben zum Typ und zur Gul- 
tigkeitsdauer des zu verwendenden Zahlungsmittels , 
zum Sicherheitsverfahren - bestehend aus Identifi- 
kationsparametarn und einer Zu£allszahl - , zum 
Status des Gebuhrenerhebungsvor gangs sowie optio- 
nal weitere Angaben zur Fahrzeug- und Fahreriden- 
tifikation, zu benutzerindividuellen Sonderkondi- 
tionen, zum Zeitpunkt des letzten Zahlvorgangs und 
zu einem eventuellen Eintritts ticket umfassen (Re- 
gistration, R) ; 

durch Empfang des R ausgeldste Feststellung und 
Ubermittlung von Daten von der Erhebungsvorrich- 
tung an die Bezahlvorrichtung, die Angaben zur 
Identif ikation der Erhebungsvorrichtung, die Zah- 
lungshdhe, zur Tarifstufe, zum Erhebungszeitpunkt , 
zum Status des Erhebungsvorgangs , zum Sicherheits- 
verfahren - bestehend aus einer we iter en Zufalls- 
zahl und einem mit einem Sessionkey gebildeten 
Authentikator - und eventuell zu einem ver- 
schlusselten Eintrittsticket umfassen (Price De- 
finition bzw. Ticket Transfer, PD bzw. TT) ; 
Verifikation und eventuell Entschlusseln der PD- 
bzw. TT-Nachricht durch die Bezahlvorrichtung und 
Ubertragung von Daten von der Bezahl- an die Erhe- 
bungsvorrichtung, die Angaben zum Status des 



WO 97/22953 



PCT/EP96/05158 



- 130 - 

Erhebungsvorgangs und zum eigentlichen Bezahl- 
vorgang (Issuer Identifier und Payment Object bzw. 
Smar tear dzer tif ileat ) umfassen und mit einem 
Au then tika tor versehen sind (Payment, P) ; sowie 
5 - Verifikation der P-Nachricht durch die Erhebungs- 

vorrichtung und Ubermittlung von Daten von der 
Erhebungs- zur Bezahlvorrichtung, die einer Quit- 
tierung des Bezahlvorgangs entsprechen und insbe- 
sondere Angaben zu Zahlungsort, -zeitpainkt und - 
10 hone, zum Status des Erhebungsvorgangs und zur 

Qui ttungsnuxnmer umfassen und mit einem ver s chilis - 
selten Au then tika tor versehen sind (Confirmation 
and Receipt, CR) . 

17. Verfahren nach Anspruch 15 , wobei fur jeden Schritt 
der Gebuhrenerhebung die Erhebungsvorrichtung eine Folge von 
Schreib- , Lese- und Funktions-Kommandos an die Bezahlvor- 
richtung sendet, die von der Bezahlvorrichtung ausgefuhrt 
we r den und zu denen die Bezahlvorrichtung das Ausfiihrungaer- 
gebnis der Erhebungsvorrichtung zurucksendet . 

18. Verfahren nach einem der An sp ruche 1 bis 17, 
dadurch gekennzeichnet , dafi der Datentransf er zwischen der 
Bezahlvorrichtung (in Form eines vom Nutzer mitgefuhrten 

25 Senders /Empf angers) mit dem Zahlungsmittel einerseits und 
der Erhebungsvorrichtung (in Form eines ortsfesten oder 
stationaren, d.i. einem festen Ort nur zugeordneten Sen- 
ders /Empf angers) andererseits erfolgen. 

30 19. Verfahren nach einem der An sp ruche 1 bis 18, 

dadurch gekennzeichnet, daB die Erhebungsvorrichtung, die 
ggf . kumulierten Verrechnungsdaten nach einem zahlungs- 
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systemunabhangigen Verfahren und Format vorzugsweise uber 
eine die Bewegungsdaten von den Verrechnungsdaten trennende 
Konzentratorstelle an eine Verrechnungss telle weiterleitet , 
die Emittent des Zahlungsmittels ist oder, besonders bevor- 
5 zugt fur den Anbieter mit dies em Emit ten ten abrechnet, wobei 
we iter e Kommunikations sennit tstellen entstehen. 

20. Verfahren nach Anspruch 19, 
dadurch gekennzeichnet, daB die Weiterleitung von Verrech- 
10 nungsdaten von der Erhebungsvorrichtung bis bin zum 

Emittenten teilweise oder vollstandig durch kryptograpbische 
Mechanismen gegen bewufite Angriffe und unbeabsichtigte 
Ereignisse geschutzt ist. 

15 21. Verfahren nach Anspruch 20, 

dadurch gekennzeichnet, daB die Weiterleitung von Verrech- 
nungsdaten uber Funk oder dergleichen, uber eine Kommunika- 
tions lei tung oder uber die Weiterleitung von Speichermedien 
erf olgt . 

20 

22. Verfahren nach einem der Anspriiche 1 bis 21, 
dadurch gekennzeichnet, daB der Da ten transfer von Verrech- 
nungsdaten in Form von Nachrichten erf olgt, die aus einem 
Message__Header Datenelement und einem Protocoll_Data_Unit 

25 bestehen, wobei der Message_Header die geltende Version des 
Protokolls identif iziert und das Protocoll_Data_Unit Daten 
umfaBt, die die Nachrichtenklasse , den Nachr ichtentyp , die 
Identitat des Nachrichtensenders sowie die I den ti tat des 
Nachrichtenempf angers und die Identitat der Nachricht umfas- 

30 sen, wo ran sich eine Sequenz von Datenob jekten anschliefit, 
die mit der eigentlichen Zahlung verbundene Daten enthalt. 
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23 . Verfahren nach Anspruch 22 , 

dadurch gekennzeichnet , daB die Message_Header , 
Message_Class und Message^Type Datenelemente als 1-Byte- 
Zahlen ausgelegt sind, wahrend die Sender_XD, Receiver^ID 
5 und Message_XD Datenobjekte als 4-Byte-Zahlen ausgelegt 
sind. 

24. Verfahren nach einexn der An sp ruche 1 bis 23, 
dadurch gekennzeichnet, daB die Daten in Form von Datenob- 

10 jekten (Data Objects) ubermittelt warden, die Datenelemente 
in Form von 4-Byte-Zahlen und Sicherheitsparametern z.B. als 
Message Authentication Code (MAC) oder als digitale Signatu- 
ren umfassen. 

15 25. Verfahren nach Anspruch 24, 

dadurch gekennzeichnet, daB die Datenobjekte zusatzlich Da- 
tenelemente in Form von 20-Byte-Inf ormationen en thai ten, die 
aus 8 -Byte - Zahlen und 2-Byte-Zahlen sowie einer 8-Byte-Hexa- 
dezimalzahl zusammengesetzt sind. 

20 

26. Verfahren nach einem der Anspruche 1 bis 25, 
dadurch gekennzeichnet, daB die Datenobjekte zusatzlich Da- 
tenelemente in Form von 2-Byte-Zahlen umfassen. 

25 27. Verfahren nach einem der Anspruche 1 bis 26, 

dadurch gekennzeichnet, daB die Datenobjekte Datenelemente 
in Form von 18 -By te-Inf ormationen umfassen, die aus einer 8- 
Byte-Zahl, einer 2-Byte-Zahl und einer 8-Byte-Hexadezimal- 
zahl bestehen. 

30 
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28. Verfahren nach einem der Anspruche 1 bis 27, 
dadurch gelcennzeichnet , daB der gesamte DatenfluB vom Anb- 
ieter uber ggf . die Konzentrators telle, die Verrechnungs- 
s telle bis zum Emittenten in Form von Nachrichten uberein- 

5 stimmender Struktur unter Verwendung der in den vorstehenden 
An spr iichen definierten Datenobjekte erf olgt . 

29. Verfahren nach einem der Anspruche 1 bis 28, 
dadurch gekennzeichnet, da£ dem Emittenten des elektroni- 

10 schen Zahlungsmittels vom Betreiber der Ladeterminals Daten 
zur Uberwachung der Sys terns icherheit in Form solcher Daten- 
objekte ubergeben werden, die struktur ell den Datenob jekten 
entsprechend , die an der Kommunikationsschnitts telle 
zwischen Bezahlvorrichtung und Erhebungsvorrichtung ausge- 

15 tauscht werden. 

30 . Verfahren nach einem der vorstehenden Anspruche , 
durchgefuhrt unter Verwendung eines ortsfesten oder statio- 
naren Abf rage senders als Erhebungsvorrichtung und eines 

20 transportablen Transponders als Teil der Bezahlvorrichtung 
gekennzeichnet durch die Verf ahrensschritte : 



25 



b) 



a) 



Senden eines Abf rage signals (T, Tender) vom Abf ra- 
ge sender an den Transponder, 

Verarbeiten des Abf rage signals (T) im Transponder 
und Senden eines Antwortsignals (Registration, R) 



c) 



an den Abf rage sender r 

Priifen des Antwortsignals (R) auf Zuverlassigkeit 



30 



e) 



d) 



bzw . Zahlungsverpf lichtung , 

Abbrechen der Transaktion, wenn die Zuverlassigkeit 
bzw. Zahlungsverpf lichtung nicht gegeben ist, 
Senden einer Trans akt ions abf rage (Price Definition, 



PD) bzw. eines Eintrittstickets (Ticket Transfer, 
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TT) , wenn die Zuverlassigkeit bzw. Zahlungsver- 
pflichtung gegeben ist, 

f ) Prufen der Transaktionsabf rage (PD) auf Au then zi tat 
bzw. Entschlusselung und Authentisierung des Ein- 

5 trittsticketsignals (TT) , 

g) Verarbeiten der Transaktionsabf rage (PD) bzw. des 
Eintrittsticketsignals (TT) im Transponder mit 
Bereit3tellung der zahlungsrelevanten Daten (Issuer 
Identifier und Payment Object) bzw. Abspeicherung 

10 des Eintrittstickets , 

h) Senden einer Transaktionsantwort (Payment, P) an 
den Abf rage sender , daB der geforderte Gebuhr enbe - 
trag abgebucht wurde , 

i) Prufen der Transaktionsantwort (P) auf Au then zi tat, 
15 j) Verarbeiten der Transaktionsantwort mit Abspeiche- 
rung der z ah lungs rele van ten Daten im Abf ragesender , 

k) Senden einer Trans akti on sbes tat igung (Confirmation 
and Receipt, CR) an den Transponder, die die Gebuh- 
renzahlung quittiart, 
20 1) Prufen der Transaktionsbestatigung (CR) auf Authen- 

zitat und Abspeicherung des Zahlungsnachweises . 



31. Verfahren nach Anspruch 30, 
dadurch gekennzeichnet , daB die Verf ahrensschritte entweder 
25 zwischen der Erhebungsvorrichtung und dam Transponder oder 
zwischen der Erhebungsvorrichtung und dem Zahlungsmittel im 
Zusammenwirken mit dem Transponder erfolgen. 



32. Verfahren nach Anspruch 31, 
30 dadurch gekennzeichnet, daB die Abf rages ignale durch Komman- 
dos von der Erhebungsvorrichtung an die Bezahlvorrichtung 
ubertragen werden, der Empfang der Abf rages ignale in der 
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Bezahlvorrichtung definierte Aktionen zur Verwendung, 
Verarbeitung, Speicherung oder Bereitstellung von Daton 
auslost und nach Abschlufi der so ausgelosten Aktionen die 
Ergebnisse in Antwortsignalen von der Bezahlvorrichtung an 
5 die Erhebungsvorrichtung ubergeben warden. 

33. Verfahren nach Anspruch 31 oder 32, 

dadurch gekennzeichnet, daB ein Zwischenspeicher verwaltet 
wird, der zur Gebuhrenentrichtung nach der Entleerung wieder 
10 aufgeladen wird. 

34. Verfahren nach Anspruch 33, 

dadurch gekennzeichnet, (in ft der Zwiachenspeicher durch eine 
Chipkarte aufgeladen wird. 

15 

35. Verfahren nach einem der Anspruche 30 bis 34, 
dadurch gekennzeichnet, daft der Transponder mittels einer 
Chipkarte entriegelt bzw. in einen betriebsbereiten Zustand 
versetzt wird. 

20 

36. Verfahren nach einem der Anspruche 30 bis 34, 
dadurch gekennzeichnet, da& der Transponder durch Empfang 
eines Funks igna Is wie z.B. der Beacon Service Table (BST) 
aus dam Stand-By-Modus in den Betriebsmodus versetzt wird, 

25 mit den Senden seines Vehicle Service Table (VST) an die 
Erhebungsvorrichtung seine Betriebsbereitschaf t signali- 
siert, worauf die Erhebungsvorrichtung ein Abf ragesignal (T) 
sendet . 

30 37. Verfahren nach einem der Anspruche 30 bis 36, 

dadurch gekennzeichnet, da£ Teile oder alle gesendeten 
Signale in codierter Form ubertragen werden. 
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38. Verfahren nach einem der Anspriiche 30 bis 37 , 
dadurch gekennzeichnet, daB das Abf rage signal Angaben iiber 
Funktionalitat und Art des Abf rage senders enthalt. 

39. Verfahren nach Anspruch 38, 

dadurch gekennzeichnet, daB das Abf ragesignal zusatzlich 
noch Angaben iiber zulassige Transponder und dem Transponder 
zugeordnete Mittel, z.B. Chipkarten, enthalt. 

40. Verfahren nach einem der Anspriiche 30 bis 39, 
dadurch gekennzeichnet, daB das Antwortsignal (R) Angaben 
zur Transponderklasse, z.B. Fahrzeugklasse , zu Zahlungs- 
konditionen und zum Z ah lungs wunsch enthalt. 

41. Verfahren nach Anspruch 40, 

dadurch gekennzeichnet, daB das Antwortsignal (R) zusatzlich 
noch Angaben zu booleschen Statusabf ragen bzw. zu einem 
evtl. verschlusselten Eintritts ticket enthalt. 

42. Verfahren nach Anspruch 40 oder 41, 

dadurch gekennzeichnet, daB mit dem Antwortsignal (R) auch 
Daten zum Vers chlusselungs verfahren ubertragen werden. 

43. Verfahren nach einem der Anspruche 30 bis 42, 
dadurch gekennzeichnet, dafi die T r an sakt ions abf rage (PD) 
bzw. das Eintrittsticketsignal (TT) neben der Gebuhrenhdhe 
bzw. dem verschlusselten Ticket auch noch Angaben iiber die 
Abf ragesender-Identif ikation , das Datum und die Uhrzeit der 
Transaktion, eine S tatus information , eine Bezahlvorrich- 
tungs-Zufallszahl und im Falle einer Gebiihrenzahlung eine 
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weitere Zufallszahl zur Bezahlvorrichtungs-Authentisierung 
en thai t. 

44. Vorfahren nach einem der Anspruche 30 bis 43, 
5 dadurch gekennzeichnet , dafc nach Erhalt einer Eintritts- 
ticketsignals (TT) dieses in der Be z ah Ivor rich tang ent- 
schlusselt, die Be zahlvorrichtungs- Zufallszahl gepriift und 
anschliefiend die Transaktion beendet wird. 

10 45. Verfahren nach einem der An sp ruche 30 bis 43, 

dadurch gekennzeichnet , da£ nach Erhalt der Transaktions- 
abfrage (PD) fur die Transaktionsantwort (P) der Abf rage- 
sender von der Bezahlvorrichtung authentisiert wird und 
diese Authentisierungsdaten vorlaufig gespeichert warden. 

15 

46. Verfahren nach Anspruch 45, 
dadurch gekennzeichnet, dafi zur Durchfiihrung des Bezahlvor- 
gangs die Gebuhr, die Abf ragesender-Zuf allszahl und die zah- 
lungsrelevanten Da ten mit einem Authentikationsf eld versehen 
2 0 ubertragen werden . 



47. Verfahren nach einem der An sp ruche 30 bis 46, 
dadurch gekennzeichnet, dafl mit der Transaktionsbestatigung 
(CR) der Bezahlvorrichtung die erfolgte Z ah lung quittiert 

25 und eine mit einem Authentikator versehene Quittung sowie 
ggf . boolesche Werte ubertragen werden. 

48. System zur Durchfiihrung des Verfahrens gemaB einem 
der Anspruche 1 bis 47, insbesondere zur automatischen Ge- 

30 buhrenerhebung uber Punk, gekennzeichnet durch einen orts- 
festen Abf ragesender (12) und einen transportablen 
Transponder (14) mit einem Zwischenspeicher (80, 82), in dem 
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die zur Gebuhrenerhebung rolevanten Da ten speicherbar sind, 
wobei die der Z ah lung betreffenden Verrechnungsdaten so 
strukturiert sind, daB sie fur die Weiterverarbeitung beim 
Emittenten und ggf - beim Acquirer eingesetzt we r den konnen. 

5 

49. System nach Anspruch 48, 
dadurch gekennzeichnet , daB der Abf ragesender (12) ein Elek- 
tronik-Modul (20) und eine Rich tan tenne (18) umfaBt. 

10 50. System nach Anspruch 49, 

dadurch gekennzeichnet, daB das Elektronik-Modul (20) einen 
Transmitter (52) , eine Schnittstelle (56) fur einen Zentral- 
rechner und einen Empf anger (54) umfaBt. 

15 51. System nach ein em der Ansp ruche 48 bis 50, 

dadurch gekennzeichnet, daB der Transponder (14) eine 
Schnittstelle (68) fur IC-Karten aufweist. 

52. System nach Anspruch 51, 

20 dadurch gekennzeichnet, daB die IC-Karte eine Smart card (66) 
ist . 

53. System nach Anspruch 52, 

dadurch gekennzeichnet, daB die Smartcard (66) uber die 
25 Schnittstelle (68) und einen Mikrocontroller (78) mit dem 
Zwischenspeicher (80, 82) kommuniziert . 

54. System nach einem der Anspruche 48 bis 53, 
dadurch gekennzeichnet, daB der Transponder (14) eine Ver- 

30 s chlusse lungs-/ En ts chlus se lungs einrichtung (84) aufweist. 
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55. System nach einesi der Anspruche 48 bis 54, 
dadurch gekennzeichnet , da£ der Transponder (14) eine An- 
wenderschnittstelle (72) mit Fliissigkristallanzeige (74) und 
einem Tastenfeld (76) aufweist. 

5 

56. System nach einem der Anspruche 48 bis 55, 
dadurch gekennzeichnet, da£ der Zwischenspeicher aus einem 
RAM (80) und einem EE PROM (82) besteht. 

10 57. System nach einem der Anspruche 53 bis 56, 

dadurch gekennzeichnet, dafi der Mikrocontroller (78) an ein 
analoges ASIC (32) , ein digi tales ASIC (34) und eine Antenne 
(30, 31) angeschlossen ist. 



15 
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(T. ALS WESENTl-ICH ANGESEHENE UNTERI-AGEN 



Kate gone" 



Bczeichnung dcr Veroffentlichung, soweii crfbrderlich unter Angabc dcr in Betracht kommenden Teilc 



Betr. Anspruch Nr. 



WO 95 10147 A (AMTECH CORP ;CHAUM DAVID 

(US)) 13. April 1995 

in der Anmeldung erwahnt 



1-6,8, 
14-33, 
48-51, 
54-57 



siehe Seite 5, Zeile 13 - 
26 

siehe Seite 11, Zeile 15 
13 

siehe Seite 22, Zeile 21 
10; Abbildungen 



Seite 9, Zei le 

- Seite 12, Zeile 

- Seite 62, Zeile 



EP 0 542 297 A (CITIBANK) 19. Mai 1993 

Seite 5, Zeile 



1,2,4-6, 
16-22 



siehe Seite 2, Zeile 56 
16; Abbildungen 



-/-- 



Weitcre Veroffentlichungcn and dcr Fonsecung von Feld C zu 
entnehmen 



0 



Stehc Anhang Patcnuamihc 



* Besondere Kalegonen von angegebenen VerdffenUichungen 
'A* VerdfTentlichung, die den allgemctncn Stand dcrTcchnik defirucrt, 
aber ruchi als besondcrs nedcutsam anztuchen ist 

"E* al teres Dokumcnt. das jedoch erst am oder nach dcm international en 
Anmcldedatum veroiTcnUicht worden ist 

'L' Vcroffcntlichung. die geeignet ist, einen Prioriutsampruch zweifdhaft cr- 
schetnen zu lassen, odcr durch die das Vcroffendichungsdatuin eincr 
andercn im Recherchenbcncht genaimicn Vcroffcntlichung bclegt wcrdcn 
soil oder die aus cincm andcren besonderen Grand angegeben ist (wic 
ausgefuhn) 

"O" Veroffentlichung, die ach auf etne mundlichc Offenbarung, 

anc Benutzung, cine Ausstellung oder andcre MaOnahmen bezieht 

'P' Veroffentlichung. die vor dcm international en Anmcldedatum, aber nach 
dem beantpruchlcn Pnontatsdatum veroffenUicht worden ist 



~P Spatere VerbffcnUicriung, die nach dcm internabonaten Anmcldedatum 
oder dcm Pnonlitsdatum veroffentlicht worden ist und mil der 
Anmeldung nicht kollidien, sondem nur zumVerstandrus dcs dcr 
Erfindung zugnmdchcgenden Pnnzips oder dcr ihr zugmndctiegenden 
The one angegehen ist 

*X" Veroffentlichung von besondercr Bedeutung; die heanspnjchte F.rfindung 
kann allem aufgrund dicser VemffcnUichung ruchi als neu Oder auf ^ 
erftndcnscher Taagkctl hcruhend bctrachtet wcrdcn 

*Y* Vcroffcntlichung von besondercr Bedeutung; die beanspruchte Erfindung 
kann nicht als auf crfindenxcher Taugkeit hcruhend bctrachtet 
wcrdcn, wenn die Vcroffcntlichung mil ancr odcr mehreren andercn 
Veroffentlichungcn dieser Katcgonc in Verbindung gehrachl wird und 
diese Verbindung fur einen Fachmann nahclicgend ist 
Vcroffcntlichung, die Mitglied derselhcn Patent/ami lie ist 
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INTERNATIONALER RECHERCHENBERICHT 



Intent. *les Aklenzeichen 

PCT/EP 96/05158 



CU-ortMBunt) ALS WESEKl'LICH ANUESEHENE UKTERLAOEN 



Kite tone* 


Bezei chnung der Verotfenllichunt, «»weil erfurdertich unier Angahe der in Betrachl kommcnden Talc 


Betr. Ampruch Nr. 


A 


WO 95 30211 A (CITIBANK) 9. November 1995 

siehe Zusanmenfassung; Anspruche; 
Abbildungen 


1,2,4-6, 
16-22 


A 


EP 0 401 192 A (BAETS THIERRY DE) 

S.Dezember 1990 

in der Anmeldung erwahnt 

siehe Zusanmenfassung; AnsprLiche; 
Abbi ldungen 

siehe Seite 3, Zeile 2 - Seite 8, Zeile 8 
siehe Seite 9, Zeile 48 - Seite 10, Zeile 
21 

siehe Seite 12, Zeile 56 - Seite 13, Zeile 
58 

siehe Seite 16, Zeile 4 - Zeile 58 


1-6,8, 
14-16, 
30-40, 
43,48-55 


A 


EP 0 577 328 A (AMERICAN TELEPHONE & 

TELEGRAPH) S.Januar 1994 

in der Anmeldung erwahnt 

siehe Zusaiunenfassung; AnsprLiche; 

Abbi ldungen 

siehe Spalte 4, Zeile 34 - Spalte 14, 
Zeile 34 


1-6,8, 
18,19, 
48,51-54 


A 


US 5 450 087 A (HURTA DWAINE S ET AL) 

12. September 1995 

in der Anmeldung erwahnt 

siehe Zusanmenfassung; AnsprLiche; 

Abbi ldungen 


1-6,18. 

19,34, 

48-57 


A 


EP 0 616 302 A (MITSUBISHI HEAVY IND LTD) 

21. September 1994 

in der Anmeldung erwahnt 

siehe Zusanmenfassung; AnsprLiche; 

Abbi ldungen 


1-6,48 


A 


EP 0 152 198 A (SCHLUMBERGER ELECTRONICS 

UK) 21. August 1985 

in der Anmeldung erwahnt 

siehe Zusanmenfassung; AnsprLiche; 

Abbildungen 


1,4-6 


A 


WO 91 18354 A (HASSETT JOHN J ; HARRISON 

JOHN M (US) ) 28. November 1991 

in der Anmeldung erwahnt 

siehe Zusanmenfassung; AnsprLiche; 

Abbi ldungen 


1 


A 


US 4 578 530 A (ZEIDLER) 25.Marz 1986 




A 


US 4 303 904 A (CHASEK NORMAN E) 

l.Dezember 1981 

in der Anmeldung erwahnt 

-/-- 
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INTERNATIONALER RECHERCHENBERICHT 



Imen .iaJes AJctcnzeichen 

PCT/EP 96/05158 



C/Forwettuntf ALS WESENTUCH A NO ESEHENE UNTERLAGEN 



K*tcfone* 



Bezei chnunt der VcroffcnUichun^. soweil erforderhch unurr Angibc der in Betracht kommendcn Tale 



Betr. Ampruch Sr. 



GB 2 278 704 A (CUTTS DAVID JOHN) 

7.Dezember 1994 

in der Anmeldung erwahnt 

WO 93 09621 A (LEE KWANG SIL) 13. Mai 1993 
in der Anmeldung erwahnt 

EP 0 609 453 A (NIPPON DENSO CO) 10. August 
1994 

in der Anmeldung erwahnt 



1 
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ENTERNATIO N AJLER RECHERCHENBERICHT 

Angabcn v.u VcroffenUichungvn, dJC zur sclhen PaientJamilic gchorcn 



In ten. .i&lex Aklcnzcichcn 

PCT/EP 96/05158 



Im Rcchcruhcnbcricht 
angcfuhrtcs Paienldvkurmrnl 


Datum dcr 
Vcroffcntlichung 


Miiglicd(cr) dcr 
Palcntfamiiic 


Dntum dcr 
Vcrbffcnllichung 




13-Q4-95 


us 


5485520 


A 


16-01-96 






AU 


7931694 


A 


01-05-95 






EP 


0722639 


A 


24-07-96 






JP 


9500998 


T 


28-01-97 




19-05-93 


DE 


9114281 


U 


09-01-92 






DE 


9214769 


U 


01-04-93 






DE 


59201413 


D 


23-03-95 






DE 


59201905 


D 


18-05-95 






EP 


0547378 


A 


23-06-93 






JP 


2511779 


B 


03-07-96 






JP 


7127017 


A 


16-05-95 






IP 


£3 11/ uv 


c 

D 


03-07-96 






JP 


7138912 


A 


30-05-95 






US 


5309407 


A 


03-05-94 






IK 


JQ7U1 


A 


02-11-93 


WO 9530211 A 


09-11-95 


us 


5557518 


A 


17-09-96 






AU 


2105895 


A 


29-11-95 






TA 


LlUtJOVf 


A 


09.H-95 






EP 


0758474 


A 


19-02-97 






CT 
r 1 




A 
n 


08-10-96 






NO 


964538 


A 


05-12-96 






PL 


317026 


A 


03-03-97 




UJ iL 3U 


BE 


1003237 


A 


04-02-92 






DE 


69010997 


D 


01-09-94 




n^-Rl -QA 


US 


5310999 


A 


10-05-94 






CA 


2095065 


A 


03-01-94 






JP 


6060237 


A 


04-03-94 


US 5450087 A 


12-09-95 


JP 


8084095 


A 


26-03-96 


EP 0616302 A 


21-09-94 


JP 


6243316 


A 


02-09-94 






JP 


6243385 


A 


02-09-94 






AU 


670159 


B 


04-07-96 






AU 


5505294 


A 


25-08-94 






US 


5554984 


A 


10-09-96 
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INTERNATIONALER RECHERCHENBERICHT 

Anj*ben zu Veroffentlichun^n, die zur selhen Patentfajnibt Rthoren 



Inter. »nai« Aklcnzeichcn 

PCT/EP 96/05158 



(m Rccherchcnbciichi 


Datum dcr 


Miiglied(cr) dcr 




Platiim Her 


angcfuhrles Patcnidokument 


VerbffenUichung 




Paten tfamilic 




VerbffenUichung 


EP 0152198 A 


21-08-85 


G8 


2153573 


A 


21-08-85 






DE 


3584455 


A 


28-11-91 


WO 9118354 A 


28-11-91 


US 


5086389 


A 


04-02-92 






us 


5144553 


A 


01-09-92 






AU 


7901591 


A 


10-12-91 






EP 


0530271 


A 


10-03-93 






JP 


5508492 


T 


25-11-93 






US 


5406275 


A 


11-04-95 






US 


5347274 


A 


13-09-94 


US 4578530 A 


25-03-86 


US 


4423287 


A 


27-12-83 






EP 


0068805 


A 


05-01-83 






JP 


1593570 


C 


14-12-90 






JP 


2018512 


B 


25-04-90 






JP 


58004476 


A 


11-01-83 



US 


4303904 


A 


01-12-81 


KEINE 






GB 


2278704 


A 


07-12-94 


WO 


9428515 


A 


08-12-94 


WO 


9309621 


A 


13-05-93 


AU 


658459 


B 


13-04-95 










AU 


2896992 


A 


07-06-93 










BR 


9205419 


A 


19-04-94 










CA 


2098594 


A 


01-05-93 










EP 


0565685 


A 


20-10-93 










HU 


65528 


A 


28-06-94 










JP 


6511097 


T 


08-12-94 










US 


5475377 


A 


12-12-95 










US 


5565857 


A 


15-10-96 










CN 


1086284 


A 


04-05-94 


EP 


0609453 


A 


10-08-94 


JP 


6013932 


A 


21-01-94 










JP 


6013933 


A 


21-01-94 










JP 


6013934 


A 


21-01-94 










JP 


5180775 


A 


28-06-94 










US 


5525991 


A 


11-06-96 










WO 


9400921 


A 


06-01-94 
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